盗号木马Trojan-PSW.Win32.OLGame.vdh
Trojan-PSW.Win32.OLGame.vdh
捕获时间
2008-03-27
病毒症状
该病毒是使用VC编写的盗号程序,由微点主动防御软件自动捕获,采用UPack加壳方式试图躲避特征码扫描,加壳后长度为19,936字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
病毒分析
该木马程序运行后,检测系统中是否存在avp.exe进程,如果有则通过相关API函数将%systemroot%/system32/drivers/beep.sys替换,并修改文件属性为隐藏、系统;否则在%temp%目录下释放驱动tmp*.tmp,修改文件的属性为隐藏、系统;调用SCM写注册表项将tmp*.tmp注册成名为mhfp的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件tmp*.tmp删除;
| Quote: | |
|
在目录%temp%下释放动态库tmp*.tmp,修改文件属性为隐藏、系统;通过API函数LoadLibraryA将tmp*.tmp加载运行;遍历进程查找360safe.exe、360tray.exe、kppmain.exe、kwatch.exe将其关闭;动态库运行后拷贝自身到%systemroot%/system32目录下,重命名为msosmhfp**.dll;修改如下注册表键值使explorer.exe以及由explorer.exe启动进程都自动加载动态库msosmhfp**.dll;通过相关API函数获取动态库所在模块名称,与梦幻西游my.exe与破天一剑china_login.mpr进行比较,如果是则通过读取其内存获取网络游戏账号和密码以及其它私人信息,以收信空间的形式发送给黑客;
| Quote: | |
|
在目录%systemroot%/system32/drivers目录下释放驱动msosfpids32.sys,修改文件属性为隐藏、系统;调用SCM写注册表项将msosfpids32.sys注册成名为fpids32的服务,通过相关函数启动被注册的服务加载驱动;以命令行的方式将病毒原文件删除。
| Quote: | |
|
驱动beep.sys、tmp*.tmp、msosfpids32.sys的作用是:钩取系统服务MDL,当由内存描述符表分配进程空间时,将msosmhfp**.dll写入到每个新创建的进程空间中。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
盗号木马Trojan-PSW.Win32.OLGame.vdh相关推荐
- 检查中ARP病毒的电脑,一堆网游盗号木马Trojan PSW RocOnline变种等
endurer 原创 2007-05-22 第1版 今天终于有机会检查那台疑是中了ARP病毒的电脑 ARP病毒"吃里巴外"? http://endurer.bokee.com/6 ...
- 又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2 endurer 原创 2008-06-16 第1版 (继1) 到 http://purpleen ...
- 遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等1
遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等1 endurer 原创 2007-11-22 第1版 昨天中 ...
- 遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等2
遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等2 endurer 原创 2007-11-22 第1版 检查发 ...
- 又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1 endurer 原创 2008-06-13 第1版 一位朋友说最近他的电脑中的瑞星杀毒软件和防火 ...
- 遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等
遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等 endurer 原创 2007-07-30 第1版 刚才," ...
- 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等2
遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等2 endurer 原创 2007-08-1 ...
- 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1
遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1 endurer 原创 2007-08-1 ...
- 遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等2 endurer 原创 2007-08-1 ...
最新文章
- SpringMVC源码解析 - HandlerAdapter - HandlerMethodArgumentResolver
- 2015/4/24~GET方式和POST方式传值大小的限制
- oracle在非归档模式下,Oracle在非归档模式下不能更改表空间为备份模式
- 清华出版社送书 50 本,倒计时!
- python接口测试-项目实践(八) 完成的接口类和执行脚本
- c语言 变量的左值和右值,C++雾中风景10:聊聊左值,纯右值与将亡值
- 蓝桥杯 参考题目 黄金队列(水题)
- 洛谷P1061 Jam的计数法
- 深入了解CSS字体度量,行高和vertical-align
- Git提交错了不用慌,这三招帮你修改记录
- vue上线后,背景图片路径错误
- 关于开源软件的十个问题(下篇)
- 再见面试官:单例模式有几种写法?
- SAP License:ERP系统实施价格是多少?
- 活血化瘀药题库【1】
- 玩转Elasticsearch routing功能
- N1盒子安装 aria2(带AriaNg前端)
- 这一篇彻底搞懂JS中的prototype、__proto__与constructor真的很好
- 【分享】集简云小程序识别名片到CRM流程搭建示例
- 网络推广平台有哪些优势?