危险等级:★★★
病毒名称:Trojan.PSW.Win32.ZhengTu.ymf
入库版本:20.21.61
类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:低
全球化传播态势:低
清除难度:易
破坏力:中
破坏手段:偷取网络游戏帐号
这是一个偷取网络游戏"征途"相关信息的木马程序
该病毒分为两部分:EXE部分负责关闭相关杀毒软件,修改注册表自启动,释放DLL并注库.DLL部分负责具体的偷取过程,自我保护等.
一,EXE部分:
病毒运行后先使用OpenEvent打开一个"ZHGHAKUIQIQOSWW_ZT"的事件,如果打开成功,则直接退出,如果没有该事件,则使用CreateEvent创建该事件,以便保证在当前系统内只有一个实例在运行.
病毒使用Process32First,Process32Next遍历系统进程,查找"Twister.exe(费尔杀毒软件进程)","FilMsg.exe"一旦发现该进程存在系统中,则使用OpenProcess,TerminateProcess关掉该进程.
病毒使用CreateThread创建两个线程.
线程一:遍历进程,一旦发现进程中存在"RavMon.exe(瑞星杀毒软件进程)",使用OpenProcess打开该进程,使用Thread32First,Thread32Next遍历该进程中的线程,在EnumThreadWindows的CallBack函数中使用PostMessage向该进程发送WM_Command消息,关闭瑞星杀毒软件.
线程二:使用FindWindow查找AVP.AlertDialog和AVP.Product_Notification窗口,如果发现窗口存在,则向"允许"和"跳过"两个Button上使用SendMessage发送WM_LBUTTONUP和WM_LBUTTONDOWN消息.则AVP杀毒软件的预警系统失效.
病毒使用GetSystemDirectory得到%SYSTEM32%目录,从自身资源中释放出DLL并复制到%SYSTEM32%目录命名为55550.dll,再使用LoadLibrary加载该DLL.
至此,EXE工作结束.
二,DLL部分:
病毒遍历进程查找"zhengtu.dat"当发现该进程时,病毒使用ReadProcessMemory从游戏进程中读取所需的信息,再发送到指定的网址上,
http://pt.xx.vc/ok/zt/lin.asp
病毒会使用WriteProcessMemory往explorer.exe进程中注入一段远程代码,该代码的作用就是循环查找%SYSTEM32%目录中的55550.dll是否存在,如果发现病毒DLL文件已经不存在,则重新写入一个新的DLL进去,达到自我保护的目的. |
发表于 2007-12-11 07:56
|