天高云淡

危险等级：★★★
病毒名称：Trojan.PSW.Win32.YBOnline.bs
截获时间：2007-10-29
入库版本：19.47.01
类型：木马

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

全球化传播态势：低

破坏力：低

破坏手段：窃取网络游戏《江湖》用户密码

此程序为偷取用户游戏密码的病毒

病毒运行后会进行以下操作：

1.找到System32路径下的kernel32.dll并试图删除该动态库，假如删除成功则退出。

2.每隔15秒遍历进程查找进程中是否存在卡巴斯基反病毒软件进程avp.exe，假如存在则把当前系统时间的年份改为2007，试图使该软件失效。

3．在System32路径下释放mseam.sys，该驱动用来记录键盘按键输入。

4.在System32路径下释放两个动态库文件sqmapi32.dll和rxjhatl.dll。

5.遍历进程查找进程中是否有游戏进程Client.exe，假如存在则结束该进程，当用户再次启动游戏进程时把动态库通过远程线程注到游戏进程中。

6.调用LoadLibrary 函数把动态库加载起来。

7.病毒运行完后会把自己删除。

sqmapi32.dll用来加载其他动态库，该动态库被加载起来后会进行以下操作：

1.找到System32路径下的kernel32.dll并试图删除该动态库，假如删除成功则退出。

2.查看加载自己的进程根据自己所在进程进行以下操作：

1）假如是svchost.exe或者alg.exe进程则退出。

2）假如是Explorer.exe则调用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函数提升自己权限，调用LoadLibrary 函数把qdshm.dll、mszs.dll
两个动态库加载起来。

3）假如是其他进程则起一个线程每隔1秒从System32路径下加载各类偷密码的动态库具体如下：
C:\WINDOWS\system32\ QQHXatl.dll、C:\WINDOWS\system32\ DTHXatl.dll、
C:\WINDOWS\system32\ WMTWatl.dll、C:\WINDOWS\system32\ QQSGatl.dll…

rxjhatl.dll用来反调试器和偷用户帐号密码，该动态库被加载起来后会进行以下操作：

1.找到System32路径下的kernel32.dll并试图删除该动态库，假如删除成功则退出。

2.查看加载自己的进程根据自己所在进程进行以下操作：

1）假如是Explorer.exe则起一个线程调用SetWindowsHookEx函数挂接鼠标键盘钩子并创建一个名为__B_的互斥体。

2)假如是OllyDbg.exe则退出。

3)假如是SDbug.则调用 OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函数提升自己权限，遍历进程查找并结束以下进程：
winlogon.exe、csrss.exe、smss.exe

4)假如是游戏进程则查找游戏窗口YB_OnlineClient，调用mseam.sys记录用户输入的帐户密码并发送到指定地址http://www.guangzhiguodu.com/bole/lin.asp。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.47.01版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。