主题 : 6月26日病毒预报--征途盗号木马Trojan-PSW.Win32.Zhengtu.gs
喝水都长膘
级别: 正式版主

显示用户信息
0  发表于: 2008-06-25 12:09

6月26日病毒预报--征途盗号木马Trojan-PSW.Win32.Zhengtu.gs

病毒名称
Trojan-PSW.Win32.Zhengtu.gs
捕获时间
2008-06-25
病毒摘要
    该样本是使用VC编写的EXE程序,由微点主动防御软件自动捕获,采用UPX方式加壳,长度为20,264字节,图标为

,病毒扩展名为exe。病毒主要用于盗取“******”帐号
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页,网络传播
安全提示
  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);

  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan-PSW.Win32.Zhengtu.gs”,请直接选择删除(如图2)。

    对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

病毒分析
病毒主程序

创建文件:%Temp%\tmp11.tmp(驱动文件)
创建服务:
子键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ zctp
键值:DisplayName
指向数据:zctp
键值:ImagePath
指向数据:\??\C:\DOCUME~1\Bryce\LOCALS~1\Temp\tmp11.tmp
键值:Start
指向数据:4
创建文件:%Temp%\tmp12.tmp(DLL文件)
创建文件:%SystemRoot%\system32\drivers\nicomsp2p32.sys
创建服务:
子键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ msp2p32
键值:DisplayName
指向数据:msp2p32
键值:ImagePath
指向数据:\??\C:\windows\system32\drivers\nicomsp2p32.sys
键值:Start
指向数据:2
替换系统文件%SystemRoot%\system32\drivers\beep.sys
遍历查找进程avp.exe(卡巴斯基),如果进程存在,修改其时间,使其失效
加载DLL库,调用DLL库的导出函数实现以下破坏功能:
遍历结束以下进程:
KWatch.exe
360SAFE.exe
360tray.exe
KPPMain.exe
修改注册表:
子项:Software\Microsoft\Windows NT\CurrentVersion\Windows
子键:AppInit_Dlls
键值:tmp12.tmp
(这个键值是在开机时候,把DLL动态库全局注入)
DLL主程序
将自身dll注入到explorer.exe里面,进行以下动作:通过修改注册表的方式,进行映象劫持
修改注册表:
子项: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options
子键:Debugger
键值:ntsd –D
将自身dll注入到以下进程,则关闭如下杀毒软件进程:
KWatch.exe
360SAFE.exe
360tray.exe
KPPMain.exe
与驱动进行通信,恢复SSDT表,使某些安全软件失效
把自身dll注入到zhengtu(******进程),然后读内存,盗取******游戏帐号,把得到的帐号密码放在文件nicozctp.dat中,然后发给盗号者











家里补差的
级别: 管理员

显示用户信息
1  发表于: 2008-11-14 20:03

谢谢楼主整理采集