病毒症状
该样本是使用“Microsoft visual C++/C”编写的“盗号木马”,采用“UPX”加壳方式试图躲避特征码扫描,加壳后长度为25,385字节,使用“ exe”扩展名,通过网页木马、下载器下载、等方式进行传播。 用户中毒后,会出现计算机及网络运行缓慢,游戏进程无故退出等现象。
感染对象
Windows 2000/Windows XP/Windows 2003/Windows Vista
传播途径
网页挂马、文件捆绑、下载器下载
病毒分析
1.病毒运行后动态获取所需API,查找并结束"JX3Client.exe"进程。 2.查找类名为"App",标题为"天下贰 公测版"的窗口,发送消息关闭该窗口。 3.释放文件%temp%\RG8.tmp,并拷贝为"%SystemRoot%\system\RG8.tmp"。 4.拷贝"%SystemRoot%\system32\dsound.dll"为同目录下的dsound.dll.mod。 5.感染dsound.dll.mod,调用sfc_os#5去掉dsound.dll的保护,用感染后的dsound.dll.mod替换正常文件dsound.dll。 6.当被感染后的dsound.dll调用后,会加载RG8.tmp。 7.在RG8.tmp中,获取游戏账号信息,创建密保卡截图,连接网络,发送到指定地址。
病毒创建文件:
%temp%\RG8.tmp %SystemRoot%\system\RG8.tmp %SystemRoot%\system32\dsound.dll.mod
病毒替换文件:
%SystemRoot%\system32\dsound.dll
手动解决办法:
1、手动删除以下文件(如遇提示无法删除文件,到http://www.wd1x.com.cn/down.htm下载费尔木马强制删除器工具进行强制删除)
%temp%\RG8.tmp %SystemRoot%\system\RG8.tmp
2、手动替换以下文件:
用相同版本替换%SystemRoot%\system32\dsound.dll
变量声明:
%SystemDriver% 系统所在分区,通常为“C:\” %SystemRoot% WINDODWS所在目录,通常为“C:\Windows” %Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings” %Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp” %ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles”
|