注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

85167118的博客

西安艺语网络传媒印务有限公司

 
 
 

日志

 
 

[手动解决]盗号木马程序Trojan-PSW.Win32.LdPinch.j  

2010-01-11 14:26:20|  分类: 精典IT知识 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

盗号木马程序

Trojan-PSW.Win32.LdPinch.j

捕获时间

2010-1-9

危害等级

病毒症状

 该样本是使用“Visual C /C”编写的盗号木马,由微点主动防御软件自动捕获,采用“UPX”加壳方式,企图躲避特征码扫描,加壳后长度为“12,580 字节“,图标为“

[手动解决]盗号木马程序Trojan-PSW.Win32.LdPinch.j - 85167118 - 85167118的博客screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“移动存储介质”等方式传播。病毒主要目的为窃取用户游戏账号。

   用户中毒后,会出现出现网络运行缓慢, windows系统无故报错、游戏无故退出等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista

传播途径

网页挂马、文件捆绑、下载器下载

手动解决办法:

1、手动删除以下文件:
   
%SystemRoot%\Fonts\bEtc8bhrp6SQmPrn.ttf
%SystemRoot%\X7s7xgtP.fon

2、手动删除以下注册表值:

HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks{76CBCF38-0583-44C7-A1AE-D463DFE625EC}

HKEY_CLASSES_ROOT\CLsID\{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}\InprocServer32%Systemroot%fonts\bQgc5yHMSD4yd.fon

变量声明:

  %SystemDriver%        系统所在分区,通常为“C:\”
  %SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
  %Documents and Settings%   用户文档目录,通常为“C:\Documents and Settings”
  %Temp%          临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
  %ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

病毒分析

(1)创建线程,释放病毒文件%SystemRoot%\Fonts\bEtc8bhrp6SQmPrn.ttf,病毒会读取该文件中的字符串,与当前生成的字符串进行比较,如果字符串一致,释放动态链接库文件%SystemRoot%\X7s7xgtP.fon,设置其文件属性为系统隐藏。
(2)加载动态链接库X7s7xgtP.fon,检查注册表指定项,判断指定键值是否存在。
(3)如果不存在,创建进程快照,在当前进程列表中查找游戏主进程,如果找到,则调用CryptoAPI函数为该进程名计算对应的加密字符串。
(4)提升病毒自身权限为SeDebugPrivilege权限,使其拥有对其他进程的访问权。
(5)病毒通过比较进程名的加密字符串来判断要打开的进程是否是目标进程,若相同,终止目标进程。
(6)查找文件%SystemRoot%\system32\VErCLSID.exe,如果找到,删除该文件。
(7)安装钩子,修改注册表,将X7s7xgtP.fon注入到explorer.exe进程,监视用户游戏客户端,获取密码、密保等信息,并将这些信息发送到黑客指定网址。
(8)调用cmd.exe /c del,删除自身。

病毒创建文件

%SystemRoot%\Fonts\bEtc8bhrp6SQmPrn.ttf
%SystemRoot%\X7s7xgtP.fon

病毒删除文件

%Systemroot%system32\VErCLSiD.exe

病毒创建注册表

Software\microsoft\windows\currentversion\Explorer\shellexecutehooks
{76CBCF38-0583-44C7-A1AE-D463DFE625EC}

HKEY_CLASSES_ROOT\CLsID\{B70A8AAD-F18A-465E-8240-184DD5845D2D}\InprocServer32%Systemroot%fonts\bQgc5yHMSD4yd.fon

 

 

  评论这张
 
阅读(57)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017