科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道1.exe 通过IFEO劫持游戏程序盗号

1.exe 通过IFEO劫持游戏程序盗号

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

今天拿到了一个感染下载者,分析一下,发现了其下载的盗号木马出现了利用IFEO劫持游戏主程序从而实现盗号的目的的新趋势。

作者:zdnet安全频道 来源:论坛整理 2008年6月12日

关键字: IFEO 游戏盗号 1.exe

  • 评论
  • 分享微博
  • 分享邮件

今天拿到了一个感染下载者,分析一下,发现了其下载的盗号木马出现了利用IFEO劫持游戏主程序从而实现盗号的目的的新趋势。病毒具体分析如下

File: 1.exe
Size: 12954 bytes
MD5: 3346525CD1599F1EC587C188695E3C1A
SHA1: 9F68C4DCD45D89175EFFB81A68E6BA099B90482F
CRC32: 199BBA8B

生成如下文件:
C:\WINDOWS\system\internat.exe

把非系统分区下面的所有exe文件列表到C:\win.log
然后感染所有非系统分区下的文件 被感染文件图标不变
被感染文件运行后释放一个1_.ii的文件(病毒文件),运行后自动删除自身


连接http://web.xxxxx.com/93/tj.htm进行感染统计
读取http://anc.xxxxxx.net/anc.jpg的下载文件列表
下载http://anc.xxxxxx.net/1.exe
http://anc.xxxxxx.net/2.exe
http://anc.xxxxxx.net/4.exe
http://anc.xxxxxx.net/3.exe
http://anc.xxxxxx.net/5.exe
http://anc.xxxxxx.net/6.exe
http://and.xxxxxx.net/7.exe
http://and.xxxxxx.net/8.exe
http://and.xxxxxx.net/9.exe
http://and.xxxxxx.net/10.exe
http://and.xxxxxx.net/11.exe
http://and.xxxxxx.net/12.exe
http://and.xxxxxx.net/13.exe
http://and.xxxxxx.net/14.exe
http://and.xxxxxx.net/15.exe
http://and.xxxxxx.net/16.exe
http://and.xxxxxx.net/18.exe
http://and.xxxxxx.net/19.exe
http://and.xxxxxx.net/gjj.exe
http://k.37698.com/ad.exe

到c:\windows\system文件夹下

木马植入完毕后

sreng日志相关项目如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinForm><C:\WINDOWS\WinForm.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>    []
      <RAVDHMON><C:\WINDOWS\system32\RAVDHMON.exe>    []
      <RAV00B2><C:\WINDOWS\system32\RAV00B2.exe>    []
      <RAVGJMON><C:\WINDOWS\system32\RAVGJMON.exe>    []
      <RAVWLMON><C:\WINDOWS\system32\RAVWLMON.exe>    []
      <RAV009B><C:\WINDOWS\system32\RAV009B.exe>    []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      <AppInit_DLLs><mycpri.dll>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{913AF41A-21B1-131B-1BFC-D2A90DF4A2B9}><C:\WINDOWS\system32\xyhpri.dll>    []
      <{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\WINDOWS\system32\jhapri.dll>    []
      <{3562452F-FA36-BA4F-892A-FF5FBBAC5313}><C:\WINDOWS\system32\mycpri.dll>    []
      <{612BC423-3713-224D-3F55-32B35C62B116}><C:\WINDOWS\system32\tlqpri.dll>    []
      <{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll>    []
      <{759AFD5B-159F-ACD8-954C-ACD545FA6587}><C:\WINDOWS\system32\jzgpri.dll>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe]
      <IFEO[Launcher.exe]><C:\WINDOWS\system\7.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\my.exe]
      <IFEO[my.exe]><C:\WINDOWS\system\2.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoW.exe]
      <IFEO[WoW.exe]><C:\WINDOWS\system\7.exe>    []
正在运行的进程
[PID: 1396 / Administrator][C:\WINDOWS\Explorer.EXE]    [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
      [C:\WINDOWS\system32\wbgqjp.dll]    [N/A, ]
      [C:\WINDOWS\system32\upxdnd.dll]    [N/A, ]
      [C:\WINDOWS\winow.dll]    [N/A, ]
      [C:\WINDOWS\system32\MsIMMs32.dll]    [N/A, ]
      [C:\WINDOWS\system32\RAVDHMON.DAT]    [N/A, ]
      [C:\WINDOWS\system32\RAV00B2.DAT]    [N/A, ]
      [C:\WINDOWS\system32\RAVGJMON.DAT]    [N/A, ]
      [C:\WINDOWS\system32\RAVWLMON.DAT]    [N/A, ]
      [C:\WINDOWS\system32\RAV009B.DAT]    [N/A, ]
      [C:\WINDOWS\system32\xyhpri.dll]    [N/A, ]
      [C:\WINDOWS\system32\jhapri.dll]    [N/A, ]
      [C:\WINDOWS\system32\mycpri.dll]    [N/A, ]
      [C:\WINDOWS\system32\tlqpri.dll]    [N/A, ]
      [C:\WINDOWS\system32\qhbpri.dll]    [N/A, ]
      [C:\WINDOWS\system32\jzgpri.dll]    [N/A, ]

清除办法:
1.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开C:\windows\system32文件夹 单击上面的搜索按钮
全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
2.打开sreng
启动项目    注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinForm><C:\WINDOWS\WinForm.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>    []
      <RAVDHMON><C:\WINDOWS\system32\RAVDHMON.exe>    []
      <RAV00B2><C:\WINDOWS\system32\RAV00B2.exe>    []
      <RAVGJMON><C:\WINDOWS\system32\RAVGJMON.exe>    []
      <RAVWLMON><C:\WINDOWS\system32\RAVWLMON.exe>    []
      <RAV009B><C:\WINDOWS\system32\RAV009B.exe>    []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe]
      <IFEO[Launcher.exe]><C:\WINDOWS\system\7.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\my.exe]
      <IFEO[my.exe]><C:\WINDOWS\system\2.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoW.exe]
      <IFEO[WoW.exe]><C:\WINDOWS\system\7.exe>    []

3.重启计算机
4.删除如下文件
C:\WINDOWS\system\internat.exe
C:\WINDOWS\system32\jhaini.dll
C:\WINDOWS\system32\jhapri.dll
C:\WINDOWS\system32\jzfini.dll
C:\WINDOWS\system32\jzgpri.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\mycini.dll
C:\WINDOWS\system32\mycpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\RAV009B.DAT
C:\WINDOWS\system32\RAV009B.exe
C:\WINDOWS\system32\RAV00B2.DAT
C:\WINDOWS\system32\RAV00B2.exe
C:\WINDOWS\system32\RAVDHMON.DAT
C:\WINDOWS\system32\RAVDHMON.exe
C:\WINDOWS\system32\RAVGJMON.DAT
C:\WINDOWS\system32\RAVGJMON.exe
C:\WINDOWS\system32\RAVWLMON.DAT
C:\WINDOWS\system32\RAVWLMON.exe
C:\WINDOWS\system32\tlmini.dll
C:\WINDOWS\system32\tlqpri.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\wbgqjp.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\xyfini.dll
C:\WINDOWS\system32\xyhpri.dll
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\winow.dll
C:\WINDOWS\winow.exe
c:\windows\system\1.exe~19.exe
c:\windows\system\gjj.exe

病毒分析到此结束,现在要说的是这篇文章的重点,也就是通过IFEO劫持游戏主程序的盗号木马
如sreng日志中的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe]
      <IFEO[Launcher.exe]><C:\WINDOWS\system\7.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\my.exe]
      <IFEO[my.exe]><C:\WINDOWS\system\2.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoW.exe]
      <IFEO[WoW.exe]><C:\WINDOWS\system\7.exe>    []
可以看到这些病毒劫持了一些常见的游戏的主程序而且他们不在注册表的启动项目中加入启动项目,当用户运行相应被劫持的游戏程序时候,自动运行了盗号木马,然后盗号木马启动游戏程序,之后盗号木马释放 dll注入游戏进程中,挂键盘钩子监视你的一举一动,这一切的操作都会在你不知情的情况下进行,而且没有了启动项目,更富有隐蔽性,达到了木马随用随启动的最高境界。呵
所以针对最近IFEO被广泛利用的现象 我们有必要对这个注册表项目进行权限设置,不给此类病毒以可乘之机。方法如下
开始 运行 输入 regedit
右键单击HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options子键
权限
把管理员组的用户的权限都修改为 拒绝 然后确定
这样我们就对IFEO的权限进行了设定 从而最大程度的避免了 此类木马利用IFEO盗号的可能。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章