主题 : 6月28日病毒预报--QQ三国盗号木马Trojan-PSW.Win32.OnLineGames.agkz
喝水都长膘
级别: 正式版主

显示用户信息
0  发表于: 2008-06-27 20:24

6月28日病毒预报--QQ三国盗号木马Trojan-PSW.Win32.OnLineGames.agkz

病毒名称
Trojan-PSW.Win32.OnLineGames.agkz
捕获时间
2008-06-27
病毒摘要
    该样本是使用VC编写的EXE程序,由微点主动防御软件自动捕获,采用unpack方式加壳,长度为16,187字节,图标为 ,病毒扩展名为exe。病毒主要用于盗取“QQ三国”帐号。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页,网络传播
安全提示
  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);

  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现" Trojan-PSW.Win32.OnLineGames.agkz”,请直接选择删除(如图2)。

    对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

病毒分析
病毒主程序

创建文件: %SystemRoot%\system32\gpsgajba.sys(用来存放被盗的帐号信息)
创建文件: %SystemRoot%\system32\apsgejba.dll(DLL动态链接库,用来盗取帐号)
将自身拷贝到:%SystemRoot%\system32\lpsgajba.exe
写注册表,实现apsgejba.dll开机自启动:
项:
HKEY_CLASSES_ROOT\CLSID\{5FD45A54-9875-698F-E56E-65102358FDF5}\InprocServer32
键:默认
指向数据: C:\windows\system32\apsgejba.dll
项:
HKEY_CLASSES_ROOT\CLSID\{5FD45A54-9875-698F-E56E-65102358FDF5}\InprocServer32
键: ThreadingModel
指向数据: Apartment
项:
HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks
键: {5FD45A54-9875-698F-E56E-65102358FDF5}
值: apsgejba.dll
项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5FD45A54-9875-698F-E56E-65102358FDF5}
键:默认
值: apsgejba.dll
遍历查找以下进程,并关闭:
QQSG..exe(QQ三国)
使用函数SetWindowsHookExA把apsgejba.dll进行全局注入
如果使用上面的注入方式,并未把apsgejba.dll注入到进程Explorer.exe中,则使用函数CreateRemoteThread把DLL动态库文件注入到远程进程Explorer.exe中
动态库(dll)的行为
如果自己被注入到进程Explorer.exe中:
再次写注册表,以防上次写如的自启动信息被擦除,实现apsgejba.dll开机自启动;关闭进程:QQDoctorMain.exe(QQ医生主程序)
然后使用函数FindFirstFileA遍历文件QQDoctor\\tm000001.tsd,并删除,然后伪造一个相同的文件
以上动作是为了破坏QQ医生,从而破坏QQ三国的保护,顺利盗取游戏帐号
使用函数SetWindowsHookExA进行全局注入,把自己注入到进程QQSG..exe中
读取游戏内存,盗取密码帐号把盗取的信息存入文件gpsgajba.sys中,通过网络发给盗号者











免费之家死党
级别: 高级会员
显示用户信息
1  发表于: 2008-06-27 23:52

o(∩_∩)o...谢谢你的分享,免费之家由你飞翔!支持啊!

级别: 新人出动
显示用户信息
2  发表于: 2008-11-20 23:57

微点感觉还行啊