比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
解读龙之谷盗号木马Trojan-PSW.Win32
　　龙之谷盗号木马
　　Trojan-PSW.Win32.OnLineGames.d
　　捕获时间
　　危害等级
　　该样本是使用“ ”编写的盗号，用Upack加壳。由微点主动防御软件自动捕获，长度为“25,436 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为盗取游“龙之谷”的“用户名”、“密码”等相关。
　　用户中毒后，会出现“龙之谷” 游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象，最终将导致虚拟财产被盗取。
　　感染对象
　　Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
　　传播途径
　　文件捆绑、网页挂马、下载器下载
　　未***主动防御软件的手动解决办法：
　　1、手动删除以下文件：
　　%Temp%\TML4.tmp
　　%SystemRoot%\system32\d3d9.dll.tmpz
　　%SystemRoot%\system32\d3d9.dll
　　%SystemRoot%\system32\DllCache\d3d9.dll
　　%SystemRoot%\system32\DllCache\d3d9.dll.tmpx
　　2、手动更改以下文件
　　用正常的d3d9.dll替换被感染的
　　%SystemRoot%\system32\d3d9.dll
　　%SystemRoot%\system32\DllCache\d3d9.dll
　　变量声明：
　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认***目录，通常为：“C:\ProgramFiles”
　　病毒分析
　　1、病毒利用sc.exe打开服务，结束并删除cryptsvc服务，并且不让此服务随机启动，从而关闭系统认证保护功能;
　　2、查找临时文件夹路径，在%Temp%下创建文件TML4.tmp,提升自身进程权限;
　　3、建立进程，遍历进程查找explorer.exe,然后将TML4.tmp的进程注入explorer.exe，以达到隐藏自身进程目的;
　　4、获取系统路径，查找系统文件%SystemRoot%\system32\d3d9.dll，找到后将其复制为d3d9.dll.tmpz，并且重写该文件,完成后将系统文件d3d9.dll为d3d9.dll.tmpx，并将感染后的%SystemRoot%\system32 \d3d9.dll.tmpz复制为%SystemRoot%\system32\d3d9.dll和%SystemRoot%\system32 \DllCache\d3d9.dll,DLLCache文件夹中原来正常d3d9.dll重命名为d3d9.dll.tmpx,完成后删除%SystemRoot%\system32\d3d9.dll.
　　5、查找系统文件sfc-.dll,破坏Windows文件保护。
　　6、建立进程快照，查找dragonNest.exe进程，找到则结束该游戏进程;
　　7、获取临时文件夹路径，创建批处理%Temp%\delself.bat批处理删除病毒和自身。
　　8、游戏运行后会自动加载被病毒感染的%SystemRoot%\system32\d3d9.dll，该文件会让游戏程序加载TML4.
　　加载TML4.tmp文件后，创建消息钩子，获取用户帐号密码等信息，发送到黑客指定网址。
　　病毒创建文件：
　　%Temp%\TML4.tmp
　　%SystemRoot%\system32\d3d9.dll.tmpx
　　%SystemRoot%\system32\d3d9.dll.tmpz
　　%SystemRoot%\system32\DllCache\d3d9.dll.tmpx
　　%Temp%\delself.bat
　　病毒替换文件：
　　%SystemRoot%\system32\d3d9.dll
　　%SystemRoot%\system32\DllCache\d3d9.dll
　　SystemRoot%\system32\sfc-os.dll
　　病毒删除文件：
　　%SystemRoot%\system32\d3d9.dll.tmpx
　　%Temp%\delself.bat
[ 责任编辑：张学敬 ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte| 漏洞检测 |
| 隐藏捆绑 |
解读龙之谷盗号木马Trojan-PSW.Win32.
请大家注意一下，不要牺牲咯! 龙之谷盗号木马 Trojan-PSW.Win32.OnLineGames.d 捕获时间
危害等级 中 病毒症状 该样本是使用“VC ”编写的盗号木马，用Upack加壳。由微点主动防御软件自动捕获，长度为“25,436 字节”，病毒扩展名为“exe”，主要
请大家注意一下，不要牺牲咯!
　　龙之谷
　　Trojan-PSW.Win32.OnLineGames.d
　　捕获时间
　　危害等级
　　病毒症状
　　该样本是使用“VC ”编写的，用Upack加壳。由微点主动防御软件自动捕获，长度为“25,436 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为盗取网络游戏“龙之谷”的“用户名”、“密码”等相关信息。
　　用户中毒后，会出现“龙之谷” 游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象，最终将导致虚拟财产被盗取。
　　感染对象
　　Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
　　传播途径
　　文件捆绑、网页挂马、器下载
　　未***杀毒软件主动防御软件的手动解决办法：
　　1、手动删除以下文件：
　　%Temp%TML4.tmp
　　%SystemRoot%system32d3d9.dll.tmpz
　　%SystemRoot%system32d3d9.dll
　　%SystemRoot%system32DllCached3d9.dll
　　%SystemRoot%system32DllCached3d9.dll.tmpx
　　2、手动更改以下文件
　　用正常的d3d9.dll替换被感染的
　　%SystemRoot%system32d3d9.dll
　　%SystemRoot%system32DllCached3d9.dll
　　变量声明：
　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:Documents and Settings当前用户名称\Local SettingsTemp”
　　%ProgramFiles%　　　　　　　系统程序默认***目录，通常为：“C:ProgramFiles”
　　病毒分析
　　1、病毒利用sc.exe打开服务，结束并删除cryptsvc服务，并且不让此服务随机启动，从而关闭系统认证保护功能;
　　2、查找临时文件夹路径，在%Temp%下创建文件TML4.tmp,提升自身进程权限;
　　3、建立进程快照，遍历进程查找explorer.exe,然后将TML4.tmp的进程注入explorer.exe，以达到隐藏自身进程目的;
　　4、获取系统路径，查找系统文件%SystemRoot%system32d3d9.dll，找到后将其复制为d3d9.dll.tmpz，并且重写该文件,完成后将系统文件d3d9.dll重命名为d3d9.dll.tmpx，并将感染后的%SystemRoot%system32 d3d9.dll.tmpz复制为%SystemRoot%system32d3d9.dll和%SystemRoot%system32 DllCached3d9.dll,DLLCache文件夹中原来正常d3d9.dll重命名为d3d9.dll.tmpx,完成后删除%SystemRoot%system32d3d9.dll.
　　5、查找系统文件sfc-os.dll,破坏Windows文件保护。
　　6、建立进程快照，查找dragonNest.exe进程，找到则结束该游戏进程;
　　7、获取临时文件夹路径，创建批处理%Temp%delself.bat批处理删除病毒源文件和自身。
　　8、游戏运行后会自动加载被病毒感染的%SystemRoot%system32d3d9.dll，该文件会让游戏程序加载TML4.
　　加载TML4.tmp文件后，创建消息钩子，获取用户帐号密码等信息，发送到指定网址。
　　病毒创建文件：
　　%Temp%TML4.tmp
　　%SystemRoot%system32d3d9.dll.tmpx
　　%SystemRoot%system32d3d9.dll.tmpz
　　%SystemRoot%system32DllCached3d9.dll.tmpx
　　%Temp%delself.bat
　　病毒替换文件：
　　%SystemRoot%system32d3d9.dll
　　%SystemRoot%system32DllCached3d9.dll
　　SystemRoot%system32sfc-os.dll
　　病毒删除文件：
　　%SystemRoot%system32d3d9.dll.tmpx
　　%Temp%delself.bat
(责任编辑：幽灵学院)
------分隔线----------------------------
解锁Windows安全启动保护的金钥匙。...
通过 Telnet测试 邮件服务器发送邮件。...
前言PHP是一种通用的开源脚本语言,它的语法混合了C,Java,以...
Android M 之前锁屏密码的存储在 Android M 之前，锁屏密码...
Intel安全团队最近表示，他们检测到恶意代码被发布在数以千...
Zenedge公司为开源社区贡献了一款名为Zentables-addons的开...
工作日：9:00-21:00
周　六：9:00-18:00
&&扫一扫关注幽灵学院龙之谷游戏盗号木马Trojan-PSW.Win32.OnLineGames.epyb
来源:互联网 作者:转载
更新时间: 17:48
该样本是使用“VC ”编写的“盗号木马”，由微点主动防御软件自动捕获, 采用“UPX”加壳方式，企图躲避特征码扫描，加壳后长度为“34,816”字节，图标为“”，使用“exe”扩展名，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要
龙之谷游戏盗号木马
Trojan-PSW.Win32.OnLineGames.epyb
& &该样本是使用&VC &编写的&盗号木马&，由微点主动防御软件自动捕获, 采用&UPX&加壳方式，企图躲避特征码扫描，加壳后长度为&34,816&字节，图标为&&，使用&exe&扩展名，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是盗取用户的密码和帐号。
&&当用户计算机感染此木马病毒后, 会出现&龙之谷& 游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象，最终将导致虚拟财产被黑客盗取，并且发现未知进程等现象。
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
文件捆绑、网页挂马、下载器下载
已***使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现&可疑程序&，请直接选择删除处理（如图1）
图1 微点主动防御软件自动捕获未知病毒（未升级）
如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现木马&Trojan-PSW.Win32.OnLineGames.epyb &，请直接选择删除（如图2）。
图2& &微点主动防御软件升级后截获已知病毒
未***微点主动防御软件的手动解决办法：
手动删除文件
删除%temp%\.dat（文件名随机）
删除游戏***目录\ksuser.dll
删除游戏***目录\midimap.dll
删除%SystemRoot%\system32\ksuser.dll
删除%SystemRoot%\system32\midimap.dll
删除%SystemRoot%\system32\sysapp1.dll（文件名随机）
删除%SystemRoot%\system32\dllcache\ksuser.dll
删除%SystemRoot%\system32\dllcache\midimap.dll
将%SystemRoot%\system32\YUksuser.dll重命名为%SystemRoot%\system32\ksuser.dll
将%SystemRoot%\system32\YUmidimap.dll重命名为%SystemRoot%\system32\midimap.dll
变量声明：
　　%SystemDriver%　　　　　　　系统所在分区，通常为&C:\&
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为&C:\Windows&
　　%Documents and Settings%　　用户文档目录，通常为&C:\Documents and Settings&
　　%Temp%　　　　　　　　　　　临时文件夹，通常为&C:\Documents and Settings\当前用户名称\Local Settings\Temp&
　　%ProgramFiles%　　　　　　　系统程序默认***目录，通常为：&C:\ProgramFiles&
病毒分析：
1、创建进程快照，遍历查找龙之谷游戏进程&DragonNest.exe&，如果有则结束该进程。
2、创建&C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\.dat&（文件名随机），创建该文件内核对象并映射到当前应用程序的地址空间，把写入文件映射缓冲区的所有数据刷新到磁盘。
3、获取注册表项KEY_LOCAL_MACHINE\SOFTWARE\snda\dn\MainProg的值，找到游戏的***目录，将&C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\.dat&（文件名随机）复制为游戏目录下&ksuser.dll&、&midimap.dll&。
4、若无法找到游戏***目录则查找注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache中是否存在龙之谷游戏的注册表信息&DragonNest&，如果存在则通过此注册表获得游戏的***目录。
5、查找游戏***目录下是否存在DragonNest.exe、ksuser.dll和midimap.dll文件，再次创建进程快照，遍历查找并结束DragonNest.exe进程，删除正常的ksuser.dll和midimap.dll文件，将&C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\.dat&（文件名随机）复制为ksuser.dll和midimap.dll，创建C:\WINDOWS\system32\TEM3.tmp（文件名随机）。
6、创建进程快照，查找并尝试结束360tray.exe等安全软件进程，执行命令行&net stop cryptsvc&、&sc config cryptsvc start= disabled&、&sc delete cryptsvc&停止并删除微软数字签名服务，突破系统的保护机制。
7、将系统目录下的ksuser.dll、midimap.dll分别复制为YUksuser.dll、YUmidimap.dll，删除ksuser.dll、midimap.dll，将&C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\.dat&（文件名随机）复制为系统目录下的ksuser.dll、midimap.dll和sysapp1.dll(文件名随机)，复制ksuser.dll、midimap.dll到C:\WINDOWS\system32\dllcache目录下，删除C:\WINDOWS\system32\TEM3.tmp（文件名随机），创建进程删除样本自身文件。
8、当用户启动龙之谷游戏时，会加载伪造的ksuser.dll和midimap.dll动态链接库文件，创建鼠标和键盘消息钩子，盗取用户的账号密码等信息。
病毒创建文件：
%temp%\.dat（文件名随机）
游戏***目录\ksuser.dll
游戏***目录\midimap.dll
%SystemRoot%\system32\TEM3.tmp（文件名随机）
%SystemRoot%\system32\ksuser.dll
%SystemRoot%\system32\midimap.dll
%SystemRoot%\system32\YUksuser.dll
%SystemRoot%\system32\YUmidimap.dll
%SystemRoot%\system32\sysapp1.dll（文件名随机）
%SystemRoot%\system32\dllcache\ksuser.dll
%SystemRoot%\system32\dllcache\midimap.dll
病毒删除文件：
%SystemRoot%\system32\TEM3.tmp（文件名随机）
%SystemRoot%\system32\ksuser.dll
%SystemRoot%\system32\midimap.dll
样本自身文件
[]刊登此文只为传递信息，并不表示赞同或者反对作者观点。
如果此内容给您造成了负面影响或者损失，本站不承担任何责任。
如果内容涉及版权问题，请及时与我们取得联系。