“网络游戏窃贼变种ADI”病毒技术细节

　　这是通过消息钩子注入其它进程，盗取网络游戏密码的病毒。病毒由C语言编写，upx加壳保护。

　　病毒主程序运行后进行如下操作：

　　1．检查事件对象，确保只运行一个实例

　　病毒调用OpenEventA尝试打开名为"CZXSDERDAKSIICS_MX"的事件对象，如果成功则表示有一个实例在运行，病毒直接退出。如果不成功，病毒将生成这个事件对象。

　　2．查找并关闭安全软件

　　病毒通过调用CreateToolhelp32Snapshot、Process32Next等函数遍历进程，搜索"Twister.exe"、"FilMsg.exe"两个安全软件的进程，如果找到则调用TerminateProcess关闭进程。

　　3．提取权限

　　病毒调用OpenProcessToken、SeDebugPrivilege、LookupPrivilegeValueA等函数提升自己进程的权限。

　　4．关闭杀毒软件的提示

　　病毒生成两个新的线程用于关闭杀毒软件提示。

　　线程1 ：遍历进程搜索RavMon.exe进程，并遍历其线程，然后调用EnumThreadWindows枚举窗口，查找特定窗口并向其发命令消息关闭杀毒软件功能。

　　线程2 ：不断查找名称为"Product_Notification"、类名为"AlertDialog"的窗口，然后查找其名为"允许"、"跳过"的子窗口，向其发送WM_LBUTTONDOWN等消息 模拟点击，以此来关闭杀毒软件提示窗口。

　　5．释放动态库

　　病毒调用FindResourceA、CreateFileA等函数，从自己的资源（资源名称"MNDLL"）中释放一个dll文件为” %System%\csavpw0.dll”，并将该dll的文件时间设置为和系统的explorer.exe一样。

　　6．生成注册表键值以便自动运行

　　病毒添加如下等注册表键，以便其释放的dll可以自动加载：

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

　　"{8DFA2904-9664-43AE-8929-4347554D24B6}" = EXTR RISING HOOK CS

　　HKLM \Software\Classes\CLSID\{8DFA2904-43AE-8929-9664-4347554D24B6}

　　HKCR\CLSID\{8DFA2904-43AE-8929-9664-4347554D24B6}\ExeModuleName=

　　"L:\Share\Work\PE\复件 1303861_5-nmuiftcn.exe"

　　HKCR\CLSID\{8DFA2904-43AE-8929-9664-4347554D24B6}\DllModuleName=

　　"C:\WINNT\System32\csavpw0.dll"

　　HKCR\CLSID\{8DFA2904-43AE-8929-9664-4347554D24B6}\SobjEventName=

　　"CZXSDERDAKSIICS_0"

　　7．调用LoadLibraryA加载释放的dll，然后退出。

　　病毒的动态链接库执行如下操作：

　　1．检查事件对象，保证只有一个dll实例运行

　　病毒调用OpenEventA尝试打开名为" CZXSDERDAKSIICS_0"的事件对象，如果可以打开则直接退出。

　　2．启动线程，保护自己的文件和注册表

　　病毒启动一个线程，循环访问自己的文件和注册表项，如果发现文件或注册表项不存在了，则生成。同时病毒以独占方式打开自己，以防止文件被删除。

　　3．查找并注入explorer.exe

　　病毒遍历查找explorer.exe进程，然后调用WriteProcessMemory、CreateRemoteThread 等函数将自己注入explorer.exe。

　　4．检查自己是否在相应的游戏进程，执行相应的信息盗取

　　病毒dll检查自己是否是在” woool88.dat”、” cabalmain.exe”、” maplestory.exe”这三个游戏的进程，如果是则通过读取内存、读取相应的游戏配置文件的方式，盗取游戏用户的密码等敏感信息。

　　5．发送信息

　　如果病毒获取了游戏用户的信息，则通过调用InternetOpenA、InternetOpenUrlA等函数将信息通过http请求发送到” http://ajmxd.konbo120.com/txmxd/mail.asp”。

　　检查自己是否是explorer.exe进程并执行相应操作

　　病毒检查自己是否在explorer.exe进程，如是则调用SetWindowsHookExA函数设置挂钩，以便将自己注入其它进程。

　　安全建议：

　　1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

　　2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

　　3 不浏览不良网站，不随意下载安装可疑插件。

　　4 不接收QQ、MSN、Emial等传来的可疑文件。

　　5 上网时打开杀毒软件实时监控功能。

　　6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

　　清除办法：

　　瑞星杀毒软件清除办法：

　　安装瑞星杀毒软件，升级到20.18.11版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。