您好,欢迎访问环球360管理网信息化办公室!
学校首页 | 联系方式

“巨人终结者变种B”病毒技术细节

发布时间:2012-11-10作者:审核人:信息化办公室发布人:浏览次数:275

      这是一个C语言编写的病毒,病毒主要功能为窃取游戏《巨人》的用户密码;病毒在被感染的系统上以隐蔽的方式运行,用户无法通过正常的方法禁止其运行。

      1.病毒运行后会释放动态库文件到本地系统中的指定位置,放出文件后会将自身删除:
      %system%\sqmapi32.dll
      %system%\jratl.cfg
      %system%\jratl.dll
      其中sqmapi32.dll和jratl.dll为病毒释放的动态库文件,病毒将加载这两个动态库实现主要功能,jratl.cfg为配置文件,病毒会将jratl.cfg和jratl.dll的属性设置为系统隐藏。

      2.病毒具有反杀毒软件的功能:

      每隔15秒遍历进程查找进程中是否存在avp.exe进程,如果存在会将系统时间的年份改为2007,试图使卡巴斯基反病毒软件失效。

      3.病毒的主要功能通过加载其释放出的动态库sqmapi32.dll和jratl.dll实现,其动态库文件的具体功能如下:

      其中sqmapi32.dll的主要功能为加载其他动态库。

      该动态库被调用会查找并试图删除%system%/kernel32.dll,如成功删除则退出,删除不成功则加载指定的其他动态库,具体行为如下:

      (1)如动态库本身被加载到svchost.exe或alg.exe进程中则退出;

      (2)如动态库本身被加载到Explorer.exe进程中,则将ALLatl.dll、ZHTUatl.dll、MHatl.dll、DHatl.dll、FYatl.dll、HXatl.dll、MSatl.dll、MYatl.dll、QJatl.dll、TLatl.dll、TXatl.dll、WMatl.dll、GJatl.dll、WLatl.dll等具有偷取密码功能的动态库加载起来。

      (3)该动态库会查找本身被加载到的其他进程,将自身权限提升,在该进程中加载qdshm.dll和mszs.dll这两个具有偷取密码功能的动态库。

      其中jratl.dll的主要功能为偷用户帐号密码。

      该动态库被调用会查找并试图删除%system%/kernel32.dll,如成功删除则退出,删除不成功则执行其病毒主要功能,具体行为如下:

      (1)如动态库被加载到Explorer.exe进程中,则起一个线程调用SetWindowsHookEx函数挂接鼠标键盘钩子,将自身注入到接收鼠标键盘消息的进程中。

      (2)如动态库被加载到HugemanClient.exe游戏进程中,病毒将通过修改内存中的游戏程序的代码来获取用户的信息,同时将用户的矩阵卡信息和用户游戏中的军衔、级别等信息通过HTTP方式发送到木马散播者的设定的URL中。

      4.该病毒有较明显识别特征,他们通过判断删除系统的kernel32.dll是否成功为触发机制,当不成功时会执行其病毒功能;当用户进行游戏时,隐蔽的窃取用户的信息。

安全建议:

      1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。

      2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。

      3 不浏览不良网站,不随意下载安装可疑插件。

      4 不接收QQ、MSN、Emial等传来的可疑文件。

      5 上网时打开杀毒软件实时监控功能。

      6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

      瑞星杀毒软件清除办法:

      安装瑞星杀毒软件,升级到20.17.30版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。


信息化专题 Informatization