17173 > 新闻中心 > > 正文

瑞星:“游戏盗号王变种J”病毒摘要

2007-11-19 21:35:02 我要纠错
神评论

病毒摘要:

危险等级:★★★
  病毒名称:Trojan.PSW.Win32.MostGame.j
  截获时间:2007-11-07
  入库版本:20.17.21
  类型:病毒

感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况:

传播级别:低

全球化传播态势:低

破坏力:高

清除难度:困难

破坏手段:修改WS2_32.DLL里的函数地址,强制跳转到病毒代码中


  技术细节:

这是一个偷取用户网络游戏帐号和密码的木马病毒,使用UPX壳进行保护

由于没有该病毒的EXE文件的样本,我们仅对这个病毒的DLL部分进行分析.

当该DLL被加载注入后,病毒会比较加载自己的所在进程是否为"WoW.exe","qqgame.exe","woool.dat","woool88.dat","mir1.dat"或"mir2.dat"。如果发现是这其中的一个,则创建一个线程。该线程会利用GetSystemDirectory得到系统的%SYSTEM32%目录并通过LoadLibrary和GetProcAddress得到ws2_32.dll里的"send","recv","WSASend","WSARecv"这四个函数的地址,并通过Patch这几个函数的入口代码,使系统在调用这四个函数的时候,会被强制跳转到病毒代码内。
   
  当所在进程是"qqgame.exe"的时候,病毒还会创建一个线程。该线程利用FindWindow查找"QQ游戏"这个窗口。当找到窗口后,病毒会往该窗口发送WM_GETTXT消息,得到用户信息。并同时把QQ游戏目录里的config\\Dynamic\\Account.cfg文件删除掉。

当所在进程是"WoW.exe"时,病毒会通过Patch代码,修改"魔兽世界"目录里的文件等手法得到用户的游戏人物ID信息、帐号和密码,并会把这些相关的信息发送到病毒作者指定的网址上(ww.400.cn)。

当所在进程为"woool.dat"或者"woool88.dat"时,所用的手法和上面完全一样。

最后,病毒在偷取完用户帐号和密码信息后,会将上述修改过的各个函数地址还原,完成系统所需要的正常操作。

安全建议:

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。

3 不浏览不良网站,不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

瑞星杀毒软件清除办法:

安装瑞星杀毒软件,升级到20.17.21版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。


【来源:】

你不知道点进去会是什么