 |
| 网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。 根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。 安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。 |
 |
|
| 当前位置:首页 - 安全响应中心 -> 病毒分析报告 | |
Trojan/Win32.Vilsel.mry[GameThief]分析 |
|
| 出处:安天实验室 时间:2009年11月19日 | |
|
|
病毒名称: Trojan/Win32.Vilsel.mry[GameThief] |
|
|
|
该恶意代码文件为DNF游戏盗号木马,该病毒文件为后初始化病毒数据,以获取本地系统时间来创建以kb****.dll的随机病毒名文件,删除临时目录下的~t11.tmp、~t22.tmp文件,拷贝系统imm32.dll文件到临时目录下命名为~t11.tmp并在文件尾部添加一个节名为.ss32向该节写入485字节数据,备份系统imm32.dll文件,动态加载"sfc_os.dll"系统文件,调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护,将imm32.dll拷贝到临时目录下命名为~t22.tmp,然后将病毒修改后的~t11.tmp拷贝到系统目录下替换现有的imm32.dll系统文件,以系统库文件开自动加载病毒文件,删除~t11.tmp文件,拷贝病毒源文件到系统目录下命名为kb118151019.dll,匹配所有进程中的0040728C内存地址的数据是否与病毒查找的数据匹配,如果找到则强行结束其进程,释放BAT批处理文件删除病毒源文件,查找含有“提示码”的窗口找到之后通过读取内存地址数据获取游戏账号密码信息,以上条件成立后读取游戏目录的.\start\usersetting.ini配置文件获取用户所在服务器相关信息,截取含有windows 图片和传真查看器、画图、acdsee、internet explorer的窗口,找到包含以上标题的窗口后自动截取并保存到临时目录下命名为tmpimg2.jpg、tmpimg2.bmp,将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中。 |
|
|
|
1、文件运行后会释放以下文件 2、删除临时目录下的~t11.tmp、~t22.tmp文件,拷贝系统imm32.dll文件到临时目录下命名为~t11.tmp并在文件尾部添加一个节名为.ss32向该节写入485字节数据,备份系统imm32.dll文件,动态加载"sfc_os.dll"系统文件,调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护,替换现有的imm32.dll系统文件,以系统库文件开自动加载病毒文件,删除~t11.tmp文件,拷贝病毒源文件到系统目录下命名为kb118151019.dll。 3、匹配所有进程中的0040728C内存地址的数据是否与病毒的16字节数据(6EDF5AD6D300671DBEEB30A8A0514795)匹配,查找含有“提示码”的窗口找到之后通过读取内存地址数据获取游戏账号密码信息,以上条件成立后则读取游戏目录的.\start\usersetting.ini配置文件获取用户所在服务器相关信息,截取含有windows图片和传真查看器、画图、acdsee、internet explorer的窗口,找到包含以上标题的窗口后自动截取并保存为tmpimg2.jpg、tmpimg2.bmp图片。 |
|
|
|
将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。 |
|
|
|
1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)。 |
|