载入中…

 | 网站首页 | 文章中心 | 下载中心 | 图片中心 | 反木马论坛 |日志分析|样本上传|求助| | 

您现在的位置: 反木马在线 >> 文章中心 >> 木马查杀 >> 文章正文
IFEO劫持类游戏木马
作者:佚名    文章来源:本站原创    点击数:    更新时间:2008-5-1

今天拿到了一个感染下载者,分析一下,发现了其下载的盗号木马出现了利用IFEO劫持游戏主程序从而实现盗号的目的的新趋势。病毒具体分析如下

File: 1.exe
Size: 12954 bytes
MD5: 3346525CD1599F1EC587C188695E3C1A
SHA1: 9F68C4DCD45D89175EFFB81A68E6BA099B90482F
CRC32: 199BBA8B

生成如下文件:
C:\WINDOWS\system\internat.exe

把非系统分区下面的所有exe文件列表到C:\win.log
然后感染所有非系统分区下的文件 被感染文件图标不变
被感染文件运行后释放一个1_.ii的文件(病毒文件),运行后自动删除自身


连接http://web.xxxxx.com/93/tj.htm进行感染统计
读取http://anc.xxxxxx.net/anc.jpg的下载文件列表
下载http://anc.xxxxxx.net/1.exe
http://anc.xxxxxx.net/2.exe
http://anc.xxxxxx.net/4.exe
http://anc.xxxxxx.net/3.exe
http://anc.xxxxxx.net/5.exe
http://anc.xxxxxx.net/6.exe
http://and.xxxxxx.net/7.exe
http://and.xxxxxx.net/8.exe
http://and.xxxxxx.net/9.exe
http://and.xxxxxx.net/10.exe
http://and.xxxxxx.net/11.exe
http://and.xxxxxx.net/12.exe
http://and.xxxxxx.net/13.exe
http://and.xxxxxx.net/14.exe
http://and.xxxxxx.net/15.exe
http://and.xxxxxx.net/16.exe
http://and.xxxxxx.net/18.exe
http://and.xxxxxx.net/19.exe
http://and.xxxxxx.net/gjj.exe
http://k.37698.com/ad.exe

到c:\windows\system文件夹下

木马植入完毕后

sreng日志相关项目如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinForm><C:\WINDOWS\WinForm.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>    []
      <RAVDHMON><C:\WINDOWS\system32\RAVDHMON.exe>    []
      <RAV00B2><C:\WINDOWS\system32\RAV00B2.exe>    []
      <RAVGJMON><C:\WINDOWS\system32\RAVGJMON.exe>    []
      <RAVWLMON><C:\WINDOWS\system32\RAVWLMON.exe>    []
      <RAV009B><C:\WINDOWS\system32\RAV009B.exe>    []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      <AppInit_DLLs><mycpri.dll>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{913AF41A-21B1-131B-1BFC-D2A90DF4A2B9}><C:\WINDOWS\system32\xyhpri.dll>    []
      <{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\WINDOWS\system32\jhapri.dll>    []
      <{3562452F-FA36-BA4F-892A-FF5FBBAC5313}><C:\WINDOWS\system32\mycpri.dll>    []
      <{612BC423-3713-224D-3F55-32B35C62B116}><C:\WINDOWS\system32\tlqpri.dll>    []
      <{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll>    []
      <{759AFD5B-159F-ACD8-954C-ACD545FA6587}><C:\WINDOWS\system32\jzgpri.dll>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe]
      <IFEO[Launcher.exe]><C:\WINDOWS\system\7.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\my.exe]
      <IFEO[my.exe]><C:\WINDOWS\system\2.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoW.exe]
      <IFEO[WoW.exe]><C:\WINDOWS\system\7.exe>    []
正在运行的进程
[PID: 1396 / Administrator][C:\WINDOWS\Explorer.EXE]    [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
      [C:\WINDOWS\system32\wbgqjp.dll]    [N/A, ]
      [C:\WINDOWS\system32\upxdnd.dll]    [N/A, ]
      [C:\WINDOWS\winow.dll]    [N/A, ]
      [C:\WINDOWS\system32\MsIMMs32.dll]    [N/A, ]
      [C:\WINDOWS\system32\RAVDHMON.DAT]    [N/A, ]
      [C:\WINDOWS\system32\RAV00B2.DAT]    [N/A, ]
      [C:\WINDOWS\system32\RAVGJMON.DAT]    [N/A, ]
      [C:\WINDOWS\system32\RAVWLMON.DAT]    [N/A, ]
      [C:\WINDOWS\system32\RAV009B.DAT]    [N/A, ]
      [C:\WINDOWS\system32\xyhpri.dll]    [N/A, ]
      [C:\WINDOWS\system32\jhapri.dll]    [N/A, ]
      [C:\WINDOWS\system32\mycpri.dll]    [N/A, ]
      [C:\WINDOWS\system32\tlqpri.dll]    [N/A, ]
      [C:\WINDOWS\system32\qhbpri.dll]    [N/A, ]
      [C:\WINDOWS\system32\jzgpri.dll]    [N/A, ]

清除办法:
1.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开C:\windows\system32文件夹 单击上面的搜索按钮
全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
2.打开sreng
启动项目    注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinForm><C:\WINDOWS\WinForm.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>    []
      <RAVDHMON><C:\WINDOWS\system32\RAVDHMON.exe>    []
      <RAV00B2><C:\WINDOWS\system32\RAV00B2.exe>    []
      <RAVGJMON><C:\WINDOWS\system32\RAVGJMON.exe>    []
      <RAVWLMON><C:\WINDOWS\system32\RAVWLMON.exe>    []
      <RAV009B><C:\WINDOWS\system32\RAV009B.exe>    []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe]
      <IFEO[Launcher.exe]><C:\WINDOWS\system\7.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\my.exe]
      <IFEO[my.exe]><C:\WINDOWS\system\2.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoW.exe]
      <IFEO[WoW.exe]><C:\WINDOWS\system\7.exe>    []

3.重启计算机
4.删除如下文件
C:\WINDOWS\system\internat.exe
C:\WINDOWS\system32\jhaini.dll
C:\WINDOWS\system32\jhapri.dll
C:\WINDOWS\system32\jzfini.dll
C:\WINDOWS\system32\jzgpri.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\mycini.dll
C:\WINDOWS\system32\mycpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\RAV009B.DAT
C:\WINDOWS\system32\RAV009B.exe
C:\WINDOWS\system32\RAV00B2.DAT
C:\WINDOWS\system32\RAV00B2.exe
C:\WINDOWS\system32\RAVDHMON.DAT
C:\WINDOWS\system32\RAVDHMON.exe
C:\WINDOWS\system32\RAVGJMON.DAT
C:\WINDOWS\system32\RAVGJMON.exe
C:\WINDOWS\system32\RAVWLMON.DAT
C:\WINDOWS\system32\RAVWLMON.exe
C:\WINDOWS\system32\tlmini.dll
C:\WINDOWS\system32\tlqpri.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\wbgqjp.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\xyfini.dll
C:\WINDOWS\system32\xyhpri.dll
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\winow.dll
C:\WINDOWS\winow.exe
c:\windows\system\1.exe~19.exe
c:\windows\system\gjj.exe

病毒分析到此结束,现在要说的是这篇文章的重点,也就是通过IFEO劫持游戏主程序的盗号木马
如sreng日志中的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe]
      <IFEO[Launcher.exe]><C:\WINDOWS\system\7.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\my.exe]
      <IFEO[my.exe]><C:\WINDOWS\system\2.exe>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoW.exe]
      <IFEO[WoW.exe]><C:\WINDOWS\system\7.exe>    []
可以看到这些病毒劫持了一些常见的游戏的主程序 而且他们不在注册表的启动项目中加入启动项目,当用户运行相应被劫持的游戏程序时候,自动运行了盗号木马,然后盗号木马启动游戏程序,之后盗号木马释放dll注入游戏进程中,挂键盘钩子监视你的一举一动,这一切的操作都会在你不知情的情况下进行,而且没有了启动项目,更富有隐蔽性,达到了木马随用随启动的最高境界。呵
所以针对最近IFEO被广泛利用的现象 我们有必要对这个注册表项目进行权限设置,不给此类病毒以可乘之机。方法如下
开始 运行 输入 regedit
右键单击HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options子键
权限
把管理员组的用户的权限都修改为 拒绝 然后确定
这样我们就对IFEO的权限进行了设定 从而最大程度的避免了 此类木马利用IFEO盗号的可能。


 
发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
 
  • 上一篇文章:

  • 下一篇文章: 没有了
    		•
    相关新闻
    网游奇迹盗号者:奇迹混乱盗号者
    警惕:综合盗号木马“捕鱼网盗号木马”
    设置Proxy Server和SQL Server实现数据
    警惕:“完美世界”游戏木马替身盗号器
    netdde32.exe下载器[IFEO劫持Explorer.
    论坛新帖
    新 闻 TOP 10
  • 没有热点文章
    		•
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    点击申请点击申请点击申请点击申请点击申请点击申请点击申请点击申请
    文字链接: 热门下说网
    Copyright © 2008 FanMuMa.com All Rights Reserved
    客服邮箱:fanmuma#126.com(将#换为@) 站长:Fisco 联系电话:15802671439 联系QQ:337803 
    捍卫属于个人的一切--