至顶网›安全频道 ›最新病毒分析报告最新病毒分析报告

最新病毒分析报告最新病毒分析报告

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹，并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理

来源：论坛整理 2008年10月29日

1.Win32.Troj.PcClient.a.688128
毒霸07.11.28.18版本即可查杀。

病毒名称(中文):黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

引用:

这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹，并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址，并记录至 {随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯，接受黑客的指令，使得用户的计算机完全处于黑客的控制之下。

(1)病毒释放文件，然后使用DeleteFileA删除自身
%sys32dir%\0004bb58.inf
%sys32dir%\{随机文件名}.dll（如byhfjm.dll）
%sys32dir%\{随机文件名}.KEY（如byhfjm.KEY）
%sys32dir%\{随机文件名}.sco（如byhfjm.sco）
%sys32dir%\drivers\{随机文件名}.sys（如byhfjm.sys）

(2)病毒增加注册项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb

(3)病毒尝试添加一个系统服务rtltvb
服务名：rtltvb
描述：Microsoft .NET Framework TPM
显示名称：rtltvb
映像路径：%sys32dir%\svchost.exe -k rtltvb
启动类型：自动

(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址，并记录至{随机文件名}.pro（如byhfjm.pro）
"Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyEnable 1"
"Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer {代理地址}"

(5)病毒尝试在后台创建多个线程与远程服务器通讯，接受黑客的指令，使得用户的计算机完全处于黑客的控制之下
0**205.k**p.net（2**.2*7.17.2*6）

2.Win32.Adware.Ejik.il.654848
这是一个广告软件，升级到金山毒霸08.07.09.10版本可以查杀

3.Win32.Adware.ADLoad.y.122880
这是一个广告软件，毒霸06.10.27.10版本可以查杀，老病毒重出江湖只能是木马下载器的功劳。
查毒日志类似于

引用:

金山清除不了风险软件Win32.Adware.ADLoad.y.122880
风险程序 2008-02-03 20:16:12 C:\Program Files\WinKld\Winkld.dat Win32.Adware.ADLoad.y.122880 操作失败

可尝试使用金山清理专家百宝箱，文件粉碎器，将这个dat文件彻底删除。

4.Win32.Troj.OnlienGamesT.ny.232960
这是一个盗号木马，染毒日志类似于

引用:

病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp60.tmp\$FileInGzip$ Win32.Troj.OnlienGamesT.ny.232960 发现病毒
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5F.tmp\$FileInGzip$ Win32.Troj.OnlienGamesT.ny.232960 发现病毒
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5E.tmp\$FileInGzip$ Win32.Troj.OnlienGamesT.ny.232960 发现病毒
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5D.tmp\$FileInGzip$ Win32.Troj.QQPassT.va.48260 发现病毒

关于该病毒的详细分析

引用:

病毒行为:

这是个盗号木马。针对目标是网络游戏《奇侠》的帐号密码信息。病毒为对抗杀毒软件，设置有一些无用字符串，试图干扰查杀。

1.病毒首先判断自身是否是在explorer.exe进程中，读取当前目录下的同名log文件（该文件由exe木马释放），读取保存在log文件中的信息,然后删除该log文件。

2.病毒代码中存在一些无用字符串，可能是想引诱杀软的特征定位在这些字符上。

3.新建线程加载自身dll，然后调用木马自身的输出函数sdfrrg，这个函数会设置键盘消息，鼠标消息等钩子，全面监视系统。

4.这个家族系列木马各有分工，分别针对不同网络游戏，本样本主要是窃取网络游戏《奇侠》用户的帐号，得手后将其发送到先前保存在同名log文件中的收信地址。

5.Win32.Troj.OnlineGamesT.ui.35328
这是一个盗号木马，升级到金山毒霸08.07.07.10版本可以查杀

这病毒一般是注入explorer进程，随机命名的DLL文件，此病毒还可能破坏explorer.exe程序，很可能造成系统重启后不能登录。

如果出现此问题，建议在带命令行的安全模式完成病毒清除之后，从其它正常电脑COPY一个explorer.exe，然后复制到windows目录下。就可以恢复windows桌面的正常登录

6.Win32.Troj.Agent.48128
这是一个木马下载器，金山毒霸08.07.05.10版本可以查杀

7.Win32.Troj.OnlineGames.fd.536072
查毒日志类似于

引用:

病毒 2008-07-13 18:38:49 病毒在文件C:\WINDOWS\system32\arjrkler.dll中 Win32.Troj.OnlineGames.fd.536072 处理成功（操作：删除）

通常发现这个病毒的同时，会发现更多其它病毒，明显是木马下载器的产物。

8.Win32.Troj.Encode.a.114688
这是一个木马程序，金山毒霸08.07.21.10版本可以查杀
查毒日志类似于

引用:

病毒 2008-07-20  08:19:25 C:\Documents and Settings\XX\Local Settings\Temporary Internet Files\Content.IE5\22MCY7H7\cc2[1].exe Win32.Troj.MapwdT.fc.20628 清除成功
病毒 2008-07-20  08:19:23 C:\Documents and Settings\XX\Local Settings\Temporary Internet Files\Content.IE5\M0L2D8VI\cc29[1].exe Win32.Troj.Encode.a.114688 清除成功
病毒 2008-07-20  08:19:23 C:\Documents and Settings\XX\Local Settings\Temporary Internet Files\Content.IE5\M0L2D8VI\cc15[1].exe Win32.Troj.GameOnlineT.xx.61440 清除成功

显然，这是木马下载器的产物之一

9.Win32.Adware.BHOAdwareT.137687
这是一个广告软件，以BHO的方式启动，可以使用金山清理专家管理这个浏览器加载项。

10.Win32.PSWTroj.WOW.139264
这是网游盗号木马，金山毒霸08.07.09.10版本可以查杀。