“征途木马变种YMF”病毒技术细节

　　这是一个偷取网络游戏"征途"相关信息的木马程序

　　该病毒分为两部分:EXE部分负责关闭相关杀毒软件,修改注册表自启动,释放DLL并注库.DLL部分负责具体的偷取过程,自我保护等.

　　一,EXE部分:

　　病毒运行后先使用OpenEvent打开一个"ZHGHAKUIQIQOSWW_ZT"的事件,如果打开成功,则直接退出,如果没有该事件,则使用CreateEvent创建该事件,以便保证在当前系统内只有一个实例在运行.

　　病毒使用Process32First,Process32Next遍历系统进程,查找"Twister.exe(费尔杀毒软件进程)","FilMsg.exe"一旦发现该进程存在系统中,则使用OpenProcess,TerminateProcess关掉该进程.

　　病毒使用CreateThread创建两个线程.

　　线程一:遍历进程,一旦发现进程中存在"RavMon.exe(瑞星杀毒软件进程)",使用OpenProcess打开该进程,使用Thread32First,Thread32Next遍历该进程中的线程,在EnumThreadWindows的CallBack函数中使用PostMessage向该进程发送WM_Command消息,关闭瑞星杀毒软件.

　　线程二:使用FindWindow查找AVP.AlertDialog和AVP.Product_Notification窗口,如果发现窗口存在,则向"允许"和"跳过"两个Button上使用SendMessage发送WM_LBUTTONUP和WM_LBUTTONDOWN消息.则AVP杀毒软件的预警系统失效.

　　病毒使用GetSystemDirectory得到%SYSTEM32%目录,从自身资源中释放出DLL并复制到%SYSTEM32%目录命名为55550.dll,再使用LoadLibrary加载该DLL.

　　至此,EXE工作结束.

　　二,DLL部分:

　　病毒遍历进程查找"zhengtu.dat"当发现该进程时,病毒使用ReadProcessMemory从游戏进程中读取所需的信息,再发送到指定的网址上,

　　http://pt.xx.vc/ok/zt/lin.asp

　　病毒会使用WriteProcessMemory往explorer.exe进程中注入一段远程代码,该代码的作用就是循环查找%SYSTEM32%目录中的55550.dll是否存在,如果发现病毒DLL文件已经不存在,则重新写入一个新的DLL进去,达到自我保护的目的.

　　安全建议：

　　1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

　　2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

　　3 不浏览不良网站，不随意下载安装可疑插件。

　　4 不接收QQ、MSN、Emial等传来的可疑文件。

　　5 上网时打开杀毒软件实时监控功能。

　　6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

　　清除办法：

　　瑞星杀毒软件清除办法：

　　安装瑞星杀毒软件，升级到20.21.61版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。