天高云淡

危险等级：★★★病毒名称：Trojan.DL.Win32.Autorun.yul截获时间：2007-10-9入库版本：19.44.21类型：病毒
感染的操作系统： Windows NT所有版本系统
威胁情况：
传播级别：低
破坏力：高
清除难度：困难
破坏手段：打开后门，接受远程控制
这是一个具有感染功能、提供多种连接方式、可配置的后门病毒。
病毒作者在病毒体（客户端控制程序）内留下了明确的签名：作者：dream2fly 作者网址： www.dream2fly.net 作者邮箱：hyrootkit@126.com作者的网址(论坛)中提供了多个自己编写的软件，包括本后门病毒。作者的论坛中称本病毒为UAM (Universal Access Manager)，中文名称“幻影远程控制”，提供收费注册使用。
病毒分为5个部分：服务端安装程序(ctfime.exe)、服务端核心程序(SysIdt00.dll)、服务端启动程序(被感染的explorer.exe)、客户端控制程序(UAManager.exe)、隐藏端口的Rootkit (uamanger.sys)。
服务端安装程序由C/C 语言编写，UPX加壳保护。其它部分由C/C 或汇编语言编写。
1、 服务端安装程序服务端安装程序执行如下操作：
(1) 服务端安装程序运行后从程序资源中释放如下文件：
“%windir%\system32\SysIdt00.dll”、”%windir%\system32\DRIVERS\uamanger.sys”
(2) 然后将自己复制为”%windir%\system32\ctfime.exe”并启动，同时删除原文件。
(3) 将SysIdt00.dll、ctfime.exe、uamanger.sys的文件时间修改为同系统的cmd.exe相同，并将属性设置为“系统 隐藏”。
(4) 修改系统的文件保护，然后感染系统的explorer.exe。
(5) 以隐藏窗口方式启动被感染的explorer.exe。
2、 服务端启动程序(被感染的explorer.exe)
服务端安装程序在感染explorer.exe时，在其最后增加一个大小为0×1000的节写入病毒代码，并将入口点改为指向新的节的开始。被感染的病毒代码执行时通过调用LoadLibraryA装载SysIdt00.dll，然后返回原入口点。病毒感染explorer.exe的目的是为了在系统启动时都能运行SysIdt00.dll，达到自启动的目的。
3、服务端核心程序(SysIdt00.dll)
SysIdt00.dll中是远端监控的核心代码。SysIdt00.dll通过被感染的explorer.exe被装载后执行如下功能：
(1) 通过调用SeDebugPrivilege等函数提升权限。
(2) 遍历进程对找到的第一个”svchost”进程，将自己将注入其内存，然后通过CreateRemoteThread启动其导出函数”Entry”。
SysIdt00.dll被注入svchost进程后执行如下功能：
(1) 通过尝试打开名为”UAM_4803″的互斥量来检查驱动是否加载，如加载则不做其它操作。
(2) 假如驱动没有加载，根据设置(可在生成服务端时设置是否加载驱动)加载驱动”%windir%\system32\DRIVERS\uamanger.sys”。
(3) 启动工作线程，实现远程监控功能。
(4) 在实现连接时，通过写文件”\\.\UAM”将连接的端口传给驱动，实现隐藏端口。
(5) 根据设置的连接方式和密码连接客户端(控制端)
生成服务端时可以设置三种连接方式： 直接连接方式(设置监听，由控制端来连接服务端) 反弹连接方式1 (设置ip地址和端口，服务端去连接控制端) 反弹连接方式2 (设置网页地址，服务端从这个地址下载ip.txt,按照其内容去连接控制端)
(6) 远程控制可以接受如下命令执行操作：
远程shell (cmd.exe命令操作) 进程治理 文件治理 […]

[Read more →]

危险等级：★★★病毒名称：Trojan.Proxy.Win32.Agent.azu截获时间：2007-9-30入库版本：19.44类型：病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
破坏力：低
清除难度：困难
破坏手段：被感染的计算机作为代理服务器
病毒的隐藏：1、 病毒在运行后会把自己复制到C:\Windows目录下并把文件属性设置为隐藏，文件名随机生成。2、 修改注册表项：　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced键值”ShowSuperHidden” = 0X00000000，修改后系统的Explorer.exe中将不显示隐藏文件，实现的简单的文件隐藏功能，这样用户将不会轻意在C:\Windows目录下看到病毒主体。
病毒为下次运行做预备1、每隔1秒，病毒会自动检查所有磁盘并在每个磁盘根目录下生成一个autorun.inf文件，当用我的电脑双击磁盘打开、点击磁盘自动播放或在运行中直接输入盘符进入磁盘时病毒会自动运行。Autorun.inf文件内容如下：[AutoRun]open=病毒文件名shellexecute=病毒文件名shell\\Auto\\command=病毒文件名
2、 修改注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run键值”ctfmon.exe” = 病毒文件名在注册表的启动项中增加一个”ctfmon.exe”键值，当系统启动时让病毒也跟随系统一同启动。
病毒的主要工作：病毒运行后，会自动连接njhacker001.vicp.net 的IP，并且打开本机端口11111进行监听等待恶意用户进行连接。当机器被恶意用户连接后，被感染的计算机作为代理服务器，被恶意用户使用。

安全建议：
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。
3 不浏览不良网站，不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。
清除办法：
瑞星杀毒软件清除办法：
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.Clicker.Win32.PopHot.bv截获时间：2007-10-8入库版本：19.44.10类型：木马
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：木马
破坏手段：通过点击指定网站增加其点击量，具有反杀毒软件的功能
此程序为Trojan类型程序
1.在Windows\System32路径下创建inf文件夹做为它的备份文件夹。
2.在Windows路径下创建mwinsys.ini文件用来记录病毒的配置信息，配置信息包括病毒的版本、系统中杀毒软件个数、主文件所在路径、动态库所在路径、备份文件所在路径等 具体格如下： [hitpop]first=1 ；是否是第一次感染ver=070930 ；版本kv=0 […]

[Read more →]

危险等级：★★★病毒名称：Trojan.Win32.Autorun.ytk截获时间：2007-10-17入库版本：19.45.31类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：中
全球化传播态势：低
破坏力：低
清除难度：中
破坏手段：消息挂钩，通过可移动设备传播
该程序运行后执行如下操作：
1.获取系统目录，判定是否存在%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.bak和NewTemp.DLL,若存在则删除该文件;
2. 拷贝自身到%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.bak,并设置文件属性为HIDDEN和SYSTEM实现文件隐藏;
3.查找自身资源DATAINFO并释放到%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.DLL;
4. 判定系统版本，若系统为非NT系统，则创建wininit.ini实现自启动;
5. 查找窗口类为ListBox、窗口名为1616116或1818118的窗口，若失败则创建一个窗口类为ListBox、窗口名为1818118的窗口来接收消息，若找到则退出，防止实例重复运行;
6. 加载%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.DLL，获取导出函数MsgHookOn并调用，之后进入消息循环，接收系统消息；
7. 消息循环退出时调用导出函数MsgHookOff设置消息钩子，监视新添加的设备；之后设置如下注册表项实现自启动: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks […]

[Read more →]

危险等级：★★★病毒名称：Trojan.PSW.Win32.XYOnline.og截获时间：2007-10-22入库版本：19.46.02类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：一般
破坏手段：偷盗用户敏感信息
这是一个偷取网络游戏”大话西游3″密码的木马病毒。
病毒运行后,从自身资源里释放一个dh3atl.dll到%SYSTEMROOT%\\System32目录中,再用LoadLibraryA把DLL启动起来.
这个dh2atl.dll是要害,所有的病毒行为都在其中,当DLL被加载后,病毒会先CreateThread一个线程,利用GetModuleFileNameA和GetCurrentProcessId得到加载dll的进程相关信息后,和Explorer.exe,Ollydbg.ini,xymain.bin相比.
假如加载这个DLL的进程是Ollydbg,病毒会用LookupPrivilegeValueA,AdjustTokenPrivileges等函数提升自身的权限,然后遍历系统进程关掉smss.exe,csrss.exe和winlogon.exe这三进程,使系统崩溃.
假如加载这个dll的进程是Explorer.exe,病毒会再起一个线程,使用SetWindowsHook,挂WH_MOUSE,WH_KEYBOARD钩子,再使用CreateMutex创建一个 “DH3″的互斥.
假如加载这个dll的进程是”xymain.bin”,病毒会先检测是否有”DH3″这个互斥存在,假如存在,则再启一个线程,利用GetWindow,GetForegroundWindow,GetClassNameA等检测”大话西游3″的窗口标题,找到后,就可以得到当前玩家的游戏人物的级别信息,再搜索是否有”请输入将军”的标题,假如有,记录将军令信息,然后和人物级别以及帐号密码等一起发送到指定的网址上.
安全建议：
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。
3 不浏览不良网站，不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.PSW.Win32.TLOnline.jjb截获时间：2007-10-22入库版本：19.46.11类型：木马
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：低
破坏手段：窃取网络游戏《天龙八部》用户密码，有自我保护功能
此病毒为盗取用户游戏帐号密码的木马程序。
1 创建一个名为FUTDFGHKHCOOL_TL的事件，保证系统中只运行其一个实例。
2 遍历进程查找系统中是否存在FilMsg.exe、twister.exe、Rav.exe进程，假如存在则调用TerminateProcess关闭该进程。
3 查找AVP.AlertDialog、AVP.Product_Notification窗口，假如存在则发送WM_QUIT消息关闭窗口
4 查找System路径下是否存在tldoor0.dll，假如存在则删除该动态库。
5 在System路径下释放病毒动态库文件tldoor0.dll，添加以下注册表键值并关联到SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks键上实现自启动：HKEY_CLASSES_ROOT\CLSID\{08E909A4-48DD-8BCC-B236-90A604B93E68}daExeModuleName = 病毒所在路径daDllModuleName = C:\WINNT\System32\tldoor0.dll
6 调用LoadLibrary API把动态库加载起来。
动态库被加载起来后会进行以下操作：
[…]

[Read more →]