天高云淡

危险等级：★★★病毒名称：Trojan.PSW.Win32.YBOnline.bs截获时间：2007-10-29入库版本：19.47.01类型：木马
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
破坏手段：窃取网络游戏《江湖》用户密码
此程序为偷取用户游戏密码的病毒
病毒运行后会进行以下操作：
1.找到System32路径下的kernel32.dll并试图删除该动态库，假如删除成功则退出。
2.每隔15秒遍历进程查找进程中是否存在卡巴斯基反病毒软件进程avp.exe，假如存在则把当前系统时间的年份改为2007，试图使该软件失效。
3．在System32路径下释放mseam.sys，该驱动用来记录键盘按键输入。 4.在System32路径下释放两个动态库文件sqmapi32.dll和rxjhatl.dll。
5.遍历进程查找进程中是否有游戏进程Client.exe，假如存在则结束该进程，当用户再次启动游戏进程时把动态库通过远程线程注到游戏进程中。
6.调用LoadLibrary 函数把动态库加载起来。
7.病毒运行完后会把自己删除。
sqmapi32.dll用来加载其他动态库，该动态库被加载起来后会进行以下操作：
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.PSW.Win32.MostGame.j截获时间：2007-11-07入库版本：20.17.21类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：高
清除难度：困难
破坏手段：修改WS2_32.DLL里的函数地址,强制跳转到病毒代码中
这是一个偷取用户网络游戏帐号和密码的木马病毒,使用UPX壳进行保护
由于没有该病毒的EXE文件的样本,我们仅对这个病毒的DLL部分进行分析.
当该DLL被加载注入后,病毒会比较加载自己的所在进程是否为”WoW.exe”,”qqgame.exe”,”woool.dat”,”woool88.dat”,”mir1.dat”或”mir2.dat”。假如发现是这其中的一个，则创建一个线程。该线程会利用GetSystemDirectory得到系统的%SYSTEM32%目录并通过LoadLibrary和GetProcAddress得到ws2_32.dll里的”send”，”recv”，”WSASend”，”WSARecv”这四个函数的地址，并通过Patch这几个函数的入口代码，使系统在调用这四个函数的时候,会被强制跳转到病毒代码内。 当所在进程是”qqgame.exe”的时候,病毒还会创建一个线程。该线程利用FindWindow查找”QQ游戏”这个窗口。当找到窗口后，病毒会往该窗口发送WM_GETTXT消息，得到用户信息。并同时把QQ游戏目录里的config\\Dynamic\\Account.cfg文件删除掉。
当所在进程是”WoW.exe”时，病毒会通过Patch代码，修改”魔兽世界”目录里的文件等手法得到用户的游戏人物ID信息、帐号和密码，并会把这些相关的信息发送到病毒作者指定的网址上（ww.400.cn）。
当所在进程为”woool.dat”或者”woool88.dat”时，所用的手法和上面完全一样。
最后,病毒在偷取完用户帐号和密码信息后，会将上述修改过的各个函数地址还原，完成系统所需要的正常操作。
安全建议：
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。
3 不浏览不良网站，不随意下载安装可疑插件。
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.PSW.Win32.XYOnline.qv截获时间：2007-11-7入库版本：20.17.21类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：中
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：窃取《梦幻西游》游戏密码
这是一个Delphi语言编写的病毒，病毒主要功能为窃取游戏《梦幻西游》的用户密码。
1. 病毒主程序行为如下：
1). 病毒运行后构造指定路径和文件名，将自身复制过去，并放出DLL和相关配置文件；路径如下：System32\kvmxfis.exe
该文件为病毒主文件，用于释放和加载病毒动态库。
System32\kvmxfma.dll 是病毒的功能动态库，用于盗取密码。
windows\Fonts\armease.fon System32\kvmxfcf.dll 这两个文件是配置文件，分别以密文和明文保存了如下内容：[Send]Url1= http://www.webye163.cn/mh/post.asp
2). 病毒会修改如下注册表项，实现动态库的自动加载：KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows “AppInit_DLLs” = kvmxfma.dllHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks “{6D47B341-43DF-4563-753F-345FFA3157D6}” = kvmxfma.dll
3).病毒通过安装键盘和鼠标钩子将动态库注入目标进程。
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.PSW.Win32.JROnline.b截获时间：2007-11-7入库版本：20.17.30类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：中
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：窃取网络游戏《巨人》用户密码
这是一个C语言编写的病毒，病毒主要功能为窃取游戏《巨人》的用户密码；病毒在被感染的系统上以隐蔽的方式运行，用户无法通过正常的方法禁止其运行。
1.病毒运行后会释放动态库文件到本地系统中的指定位置,放出文件后会将自身删除： %system%\sqmapi32.dll %system%\jratl.cfg %system%\jratl.dll 其中sqmapi32.dll和jratl.dll为病毒释放的动态库文件,病毒将加载这两个动态库实现主要功能,jratl.cfg为配置文件,病毒会将jratl.cfg和jratl.dll的属性设置为系统隐藏。 2.病毒具有反杀毒软件的功能:
每隔15秒遍历进程查找进程中是否存在avp.exe进程，假如存在会将系统时间的年份改为2007，试图使卡巴斯基反病毒软件失效。 3.病毒的主要功能通过加载其释放出的动态库sqmapi32.dll和jratl.dll实现,其动态库文件的具体功能如下:
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.PSW.Win32.GameOnline.aav截获时间：2007-11-4入库版本：20.17.12类型：感染型病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
清除难度：低
破坏手段：偷取多个网络游戏用户密码
这是一个偷取多个网络游戏用户密码的病毒
病毒运行后首先会创建一个叫15914244的事件用来防止进程中有多个病毒进程运行。
然后会创建一个线程查找AVP.Product_Notification、瑞星注册表监控提示、AVP.AlertDialog这个几窗口，假如找到发送WM_CLOSE消息将它们关闭。 接着调用mixerGetLineControls、mixerGetControlDetails等函数关闭用户的声音设备，使得用户无法听到杀毒软件的声音提示。
把自己拷贝到System32路径下命名为AVPSrv.exe，添加以下注册表项实现自启动： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run “AVPSrv” = C:\WINDOWS\AVPSrv.exe
在System32路径下释放动态库文件AVPSrv.dll，遍历进程找到Explorer.exe进程，通过远程线程把自己注入到该进程中。
动态库用来获取并发送用户帐号密码：
动态库被加载起来后首先会调用SetWindowsHookEx函数挂接鼠标键盘钩子。
然后调用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函数提升自己权限。
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.PSW.Win32.GameOnline.adi截获时间：2007-11-13入库版本：20.18.11类型：后门型病毒
感染的操作系统：Windows NT所有版本系统
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：高
清除难度：困难
破坏手段：注入其它程序进程，寻找并盗取网络游戏密码
这是通过消息钩子注入其它进程，盗取网络游戏密码的病毒。病毒由C语言编写，upx加壳保护。
病毒主程序运行后进行如下操作：
1．检查事件对象，确保只运行一个实例
病毒调用OpenEventA尝试打开名为”CZXSDERDAKSIICS_MX”的事件对象，假如成功则表示有一个实例在运行，病毒直接退出。假如不成功，病毒将生成这个事件对象。
2．查找并关闭安全软件
病毒通过调用CreateToolhelp32Snapshot、Process32Next等函数遍历进程，搜索”Twister.exe”、”FilMsg.exe”两个安全软件的进程，假如找到则调用TerminateProcess关闭进程。
3．提取权限
病毒调用OpenProcessToken、SeDebugPrivilege、LookupPrivilegeValueA等函数提升自己进程的权限。
4．关闭杀毒软件的提示
病毒生成两个新的线程用于关闭杀毒软件提示。
线程1 ：遍历进程搜索RavMon.exe进程，并遍历其线程，然后调用EnumThreadWindows枚举窗口，查找特定窗口并向其发命令消息关闭杀毒软件功能。
线程2 ：不断查找名称为”Product_Notification”、类名为”AlertDialog”的窗口，然后查找其名为”答应”、”跳过”的子窗口，向其发送WM_LBUTTONDOWN等消息 […]

[Read more →]