描述
Trojan/PSW.Zypws.al
病毒類型:木馬
病毒大小:118784位元組,111104位元組,18944位元組
傳播方式:網路
危害等級:**
“密碼張”木馬病毒的最新變種Trojan/PSW.Zypws.al運用視窗消息掛鈎和API掛鈎等技術竊取傳奇遊戲帳號密碼等信息,提交給病毒作者維護的網頁腳本。
具體技術特徵如下:
1. 病毒運行後,將在用戶計算機中創建以下檔案:
%WinDir%\windll.exe, 118784位元組,病毒程式自身
%WinDir%\hook.dll, 18944位元組,病毒模組,用來進行訊息掛鈎和API掛鈎
%WinDir%\winsoftdll.dll, 111104位元組,病毒模組,用來嵌入到系統進程
2. 病毒根據用戶Windows系統版本不同,分別添加不同的註冊表啟動項:
/Windows 98:
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"windll.exe" = windll.exe
/Windows 2000/XP:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon】
"Shell" = explorer.exe %WinDir%\windll.exe
3. 把%WinDir%\winsoftdll.dll模組注入到EXPLORER.EXE進程中,此時病毒主程式退出。winsoftdll.dll被載入後,開啟一個計時器,每隔2秒做下面的事情:
?重寫上文列出的病毒註冊表鍵值;
?建立共享記憶體區,從本地傳奇遊戲檔案中偷取用戶信息,保存在共享記憶體中;
?搜尋傳奇登入視窗和IE瀏覽器視窗,一旦發現它們,就調用另一個病毒模組Hook.dll對目標視窗安裝訊息掛鈎;
4.傳奇登入視窗和IE視窗被安裝了訊息掛鈎後,對這些視窗進行的任何操作都會激活Hook.dll病毒模組。Hook.dll將對目標視窗進程的send,recv和TextOutA三個API函式進行掛鈎,此時用戶通過IE傳送接受的信息以及傳奇視窗上回顯的文字信息都會被病毒截獲。當病毒確定已經竊取到用戶的帳號、密碼等信息後,會提交給遠程網頁腳本:
http://www.shenda.org.cn/download/upfile.asp http://www.mir88.net/inc/login.asp
5. 病毒還會從網上獲取自身的最新版本,進行自我更新。
6. 病毒代碼有“這一次你要還是能查得出來,算你狠.呵呵”,“世界上只有一個中國”等字樣。
