网络安全 频道

munff1.dll,GTH69459.exe 分析

    【IT168 专稿】该样本是使用“VC”编写的盗号木马,采用“UPX”加壳方式,企图躲避特征码扫描,加壳后长度为“21,792 字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为盗取网络游戏QQ华夏的帐号和密码等信息。

    用户中毒后,游戏无故关闭,输入帐号、密码时游戏运行缓慢的现象,最终将导致虚拟财产被黑客盗取。

    感染对象

    Windows 2000/Windows XP/Windows 2003

    传播途径

    网页木马、文件捆绑、下载器下载

    病毒分析

    (1)复制%SystemRoot%\system32\sfc_os.dll为%SystemRoot%\system32\munff1.dll,并加载,调用5#函数去掉comres.dll的文件保护
    (2)重命名%SystemRoot%\system32\comres.dll为syGTH.dll,释放病毒动态库%SystemRoot%\system32\comres.dll,%SystemRoot%\fOnTS\comres.dll和%SystemRoot%\fOnTS\GTH69459.dll
    (3)遍历进程,结束游戏进程QQhxgame.exe
    (4)释放病毒配置文件 %SystemRoot%\fOnTS\GTH69459.ini 
    (5)复制%SystemRoot%\system32\rundll32.exe为%SystemRoot%\system32\GTH69459.exe
    (6)创建进程,加载病毒动态库
    (7)设钩子,截获密码,发送到黑客指定网址
    (8)删除病毒自身 
  
    病毒创建文件:
  
    %SystemRoot%\system32\munff1.dll 
    %SystemRoot%\system32\syGTH.dll
    %SystemRoot%\fOnTS\comres.dll
    %SystemRoot%\fOnTS\GTH69459.dll
    %SystemRoot%\fOnTS\GTH69459.ini
    %SystemRoot%\system32\GTH69459.exe
  
    病毒修改文件:
  
    %SystemRoot%\system32\comres.dll

    手动解决办法:

    1、使用相同版本文件替换以下文件:

    %SystemRoot%\system32\comres.dll

    2、手动删除以下文件:
  
    %SystemRoot%\system32\munff1.dll
    %SystemRoot%\system32\syGTH.dll
    %SystemRoot%\fOnTS\comres.dll 
    %SystemRoot%\fOnTS\GTH69459.dll
    %SystemRoot%\fOnTS\GTH69459.ini
    %SystemRoot%\system32\GTH69459.exe

0
相关文章