扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至 {随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
(1)病毒释放文件,然后使用DeleteFileA删除自身
%sys32dir%\0004bb58.inf
%sys32dir%\{随机文件名}.dll(如byhfjm.dll)
%sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)
%sys32dir%\{随机文件名}.sco(如byhfjm.sco)
%sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)
(2)病毒增加注册项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb
(3)病毒尝试添加一个系统服务rtltvb
服务名:rtltvb
描述:Microsoft .NET Framework TPM
显示名称:rtltvb
映像路径:%sys32dir%\svchost.exe -k rtltvb
启动类型:自动
(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)
"Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyEnable 1"
"Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer {代理地址}"
(5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下
0**205.k**p.net(2**.2*7.17.2*6)
金山清除不了风险软件Win32.Adware.ADLoad.y.122880
风险程序 2008-02-03 20:16:12 C:\Program Files\WinKld\Winkld.dat Win32.Adware.ADLoad.y.122880 操作失败
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp60.tmp\$FileInGzip$ Win32.Troj.OnlienGamesT.ny.232960 发现病毒
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5F.tmp\$FileInGzip$ Win32.Troj.OnlienGamesT.ny.232960 发现病毒
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5E.tmp\$FileInGzip$ Win32.Troj.OnlienGamesT.ny.232960 发现病毒
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5D.tmp\$FileInGzip$ Win32.Troj.QQPassT.va.48260 发现病毒
病毒行为:
这是个盗号木马。针对目标是网络游戏《奇侠》的帐号密码信息。病毒为对抗杀毒软件,设置有一些无用字符串,试图干扰查杀。
1.病毒首先判断自身是否是在explorer.exe进程中,读取当前目录下的同名log文件(该文件由exe木马释放),读取保存在log文件中的信息,然后删除该log文件。
2.病毒代码中存在一些无用字符串,可能是想引诱杀软的特征定位在这些字符上。
3.新建线程加载自身dll,然后调用木马自身的输出函数sdfrrg,这个函数会设置键盘消息,鼠标消息等钩子,全面监视系统。
4.这个家族系列木马各有分工,分别针对不同网络游戏,本样本主要是窃取网络游戏《奇侠》用户的帐号,得手后将其发送到先前保存在同名log文件中的收信地址。
病毒 2008-07-13 18:38:49 病毒在文件C:\WINDOWS\system32\arjrkler.dll中 Win32.Troj.OnlineGames.fd.536072 处理成功(操作:删除)
病毒 2008-07-20 08:19:25 C:\Documents and Settings\XX\Local Settings\Temporary Internet Files\Content.IE5\22MCY7H7\cc2[1].exe Win32.Troj.MapwdT.fc.20628 清除成功
病毒 2008-07-20 08:19:23 C:\Documents and Settings\XX\Local Settings\Temporary Internet Files\Content.IE5\M0L2D8VI\cc29[1].exe Win32.Troj.Encode.a.114688 清除成功
病毒 2008-07-20 08:19:23 C:\Documents and Settings\XX\Local Settings\Temporary Internet Files\Content.IE5\M0L2D8VI\cc15[1].exe Win32.Troj.GameOnlineT.xx.61440 清除成功
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。