1.机器狗变种Win32.Troj.Agent.dz.11636
病毒名称(中文):机器狗变种11636
病毒别名:机器狗,IGM
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:11636
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个可以穿透还原软件的病毒。病毒通过直接读写文件簇来绕过一些文件过滤系统的监视,病毒会释放一个驱动来实现还原软件的穿透,并修改系统文件USERINIT.EXE,中毒后每次开机就会下载大量木马到本地运行。机器狗病毒解决方案:/zuixinbingdu/2008/0306/2655.html
该病毒就解除还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞,从http: //xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马,盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。
一、病毒运行后,病毒会释放一个驱动文件pcihdd.sys 到 %system32%drivers\ 下,并创建服务加载它,加载完毕后就将其删除.
二、病毒通过读 \\.\PhysicalDrive0 (注,和\\.\PhysicalHardDisk0 区别开来)来获取MBR的信息,并根据MBR信息来判断第一分区是否为启动分区且分区类型为病毒所支持的,若不是则不继续破坏,目前该病毒支持 FAT32,FAT32 LBA,NTFS 三种分区格式.
三、病毒利用pcihdd.sys创建了\Device\PhysicalHardDisk0及其符号连接\\.\PhysicalHardDisk0来对病毒提供解密,破解还原软件等功能. 并只处理 :
IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL.
四、病毒感染%system32%Userinit.exe 流程如下:
1. 病毒首先打开 \\.\PhysicalHardDisk0 ,这时驱动便找到硬盘的驱动设备\Device\Harddisk0\DR0(实际就是\\.\PhysicalDrive0 所指向的设备), 并判断是否有被冰点之类还原软件的设备所挂接,若有则解除还原软件的挂接,是还原类软件对\\.\PhysicalDrive0 拦截失效.
2.然后打开 Userinit.exe,并利用FSCTL_GET_RETRIEVAL_POINTERS 来获取文件数据的分布信息, 再将控制码0xF0003C04 发送给 \\.\PhysicalHardDisk0 来获取解密的资源数据.
3.最后,通过 \\.\PhysicalDrive0 将获取的解密数据写入到 Userinit.exe的第一簇. 由于病毒是直接修改文件簇的, 所以感染后的Userinit.exe 大小和属性等信息是不变,唯一不同的是文件内容及版本信息.
五、被修改后的Userinit.exe :
1. 查询SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Shell键值
2. 创建Shell进程
3. 等待网络链接,当网络链接畅通后,则从http://yu.8s7.net/cert.cer下载病毒列表
4. 对于列表中的文件每个文件,创建一个新线程下载并执行,线程计数加 1
5. 等待所有线程结束后(线程计数为0)结束进程.
2.Win32.PSWTroj.Lineage.73770
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 73770
影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个盗号木马。病毒运行后,将自身复制至SendTo文件夹,并释放病毒文件,并通过修改注册表达到自启动。该病毒会盗取网络游戏天堂的用户信息,包括帐号、密码等。3.Win32.Troj.OnlineGames.vx.131072
1.生成文件
%profile%@\SendTo\Winfzgd.EXE
%profile%@\SendTo\Winfzgd.hlp
2.生成注册表项
HKEY_CURRENT_USER\Software\Nexon\Kingdom of the Winds DialogPos13
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run BianFeng "%profile%\SendTo\Winfzgd.EXE"
3.通过注入进程的方式盗取网络游戏天堂用户信息,然后发送至以下网址:
hxxp://www.gamexxxx.com/fzgd/updata.asp?fwq=%s&user=%s&password=%s&ckpass=%s
病毒名称(中文): 网游窃贼131072
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 131072
影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个网络游戏盗号木马变种。病毒运行后会复制自身至系统文件夹,注入桌面进程,查找查找《浩方游戏平台》、《剑侠情缘2》、《热血江湖》、《完美世界》等网络游戏的进程,如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息,然后将盗取信息发送至远程服务器。4.Win32.PSWTroj.OnLineGames.es.18668
1.生成文件
%windir%\cmdbcs.exe
%sys32dir%\cmdbcs.dll
2.生成注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run cmdbcs "%windir%\cmdbcs.exe"
3.注入桌面进程,查找浩方游戏平台“gameclient.exe”、剑侠情缘2“SO2Game.exe”、热血江湖“client.exe”等游戏进程
是否存在,如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息
4.查找网络游戏完美世界“ElementClient Window”、“ZElementClient Window”窗口是否存在,如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息
5.将盗取的网络游戏帐号、密码、所在服务器等信息发送至以下网址
hxxp://j**.s****jj.com/cchh/lin.asp?s=%s&u=%s&p=%s&r=%s&l=%d&il=%s&sl=%s
hxxp://j**.s****jj.com/cchh/lin.asp?a=%s&s=%s&u=%s&p=%s&ks=sbe0&sp=%s&r=%s
病毒名称(中文):网游盗窃者18668
威胁级别:★☆☆☆☆
病毒类型:偷密码的木马
病毒长度:18668
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个盗号木马.盗取网络游戏《征途》《惊天动地》《武林外传》帐号与密码等相关信息。5.Win32.TrojDownloader.Agent.fu.73939
1、病毒生成的文件:
%Temp%\upxdnd.exe
%Temp%\upxdnd.dll
2、病毒添加的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
upxdnd = "C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe"
3、发送的指定接收地址
http://22**6.cn/zz**23/lin.asp?srv=&id=&p=&s=&ss=&js=&gj=&dj=0&yz=0
4、病毒运行之后会删除自身
5、关闭杀毒软件警告窗口
AVP.AlertDialog
AVP.Product_Notification
瑞星注册表监控提示
病毒名称(中文):伪装下载者73939
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:73939
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
该病毒是一个木马下载者,病毒运行后会衍生病毒文件至系统目录下,并修改注册表增加启动项,还会创建一个伪系统进程,通过网络下载其他的木马文件至本机并执行。6.Win32.Troj.Avkiller.vz.139497
1.添加文件
C:\Program Files\Internet Explorer\svchost.exe
2.修改注册表增加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run svchost.exe "C:\Program Files\Internet Explorer\svchost.exe"
3.创建伪系统进程svchost.exe.
4.该病毒会从以下的地址当中下载其他的木马文件:
http://www.*****gf.com/0.exe
http://www.*****gf.com/3.exe
http://www.*****gf.com/5.exe
http://www.*****gf.com/7.exe
http://www.*****gf.com/9.exe
病毒名称(中文):AV终结者变种139497
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:139497
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个AV终结者变种病毒。它会劫持大部分安全软件,破坏安全模式,禁用windows防火墙、帮助中心、自动更新等项目,还会释放出传染性极高的Auto病毒。