安天实验室12月28日病毒预警

一、“大话木马”（Trojan/Win32.WOW.vno[Stealer]） 威胁级别：★★★★

    该病毒文件为大话西游游戏盗号木马，病毒运行后创建t322025.ini到%System32%目录下，衍生随机病毒名文件到临时目录下，遍历进程查找AVP.EXE进程，如果进程存在则拷贝rundll32.exe一份重命名为t322025.exe，调用CMD命令使用被重命名的t322025.exe文件（原文件名rundll32.exe）启动临时目录下的病毒文件，如进程不存在则直接使用rundll32.exe启动临时目录下的病毒文件，临时目录下的病毒文件被启动后对进程进行提权操作，判断自身进程是否为svchost.exe，如不是则退出，如是则衍生病毒DLL文件到%System32%目录下，拷贝rpcss.dll系统文件为t3rpcss.dll，将病毒DLL文件注入到EXPLORER.EXE进程中，病毒DLL查找含有大话西游标题和xy2_ex.exe进程的窗口，安装消息钩子截取游戏账号密码通过URL方式将账号信息发送到作者指定的地址中。

二、“控制者”（Trojan/Win32.Agent.yep[Dropper]） 威胁级别：★★★★

    该病毒文件为后门类木马，病毒运行后查找名为DVCLAL内的DLL类型的资源，找到后Load该资源信息，在病毒当前目录下衍生病毒DLL文件并将属性设置为隐藏，Load病毒DLL文件，调用病毒DLL的Install模块，遍历进程查找AVP.EXE找到后加载sfc_os.dll文件去掉对beep文件的修改提示，先将系统的beep.sys文件改名为beep.sys.tep释放beep.sys驱动文件到%drivers%目录下替换现有的文件，改驱动文件恢复SSDT绕过卡巴斯基主动防御，比较自身DLL进程路径是否为%System32%目录下的winnet.dll文件，如不是则将自身拷贝到该目录下命名成winnet.dll，添加注册表服务启动项，开启一个SVCHOST.EXE进程将病毒代码注入到该进程中连接网络进行通信，被控制的计算机会被控制者完全控制，病毒运行完毕后删除自身原文件。

安天反病毒工程师建议