有关落雪木马资料,摘自网络
落雪木马狂盗号:
江民反病毒中心立即对用户上报的可疑文件样本进行分析,导致网络游戏玩家账
号被盗的原因是电脑感染了一种名为“落雪”的木马病毒。“落雪”木马可盗取魔兽世界、传奇世界、征途、梦幻西游、边锋游戏等多款网络游戏的账号和密码。文件图标一般是红色的图案,伪装成网络游戏的登录器。
病毒运行后,在C盘pro-gram file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见。江民杀毒软件KV系列产品已及时升级,没有安装杀毒软件的用户,可以下载使用江民“落雪”木马专杀工具进行杀毒,
落雪”木马袭来! 大家警惕,该木马难以清除
Y/\|" m ]
落雪木马反病毒案例分析 ¬ @F\2&*sR
{tk R+ c[
最近网上正在流窜这一类木马-游戏大盗,KV 报病毒名: Trojan/PSW.GamePass ,这类木马还有一个好听的别名:落雪木马,呵呵,在浪漫的名称背后隐藏的是一双冰冷狡诈的眼睛!如果你正在打网络游戏,并且中了这种木马话,那么你的 IC,IP,IQ卡,游戏帐号和密码,也就统统告诉它密码了! ! x|40oN
游戏大盗 Trojan/PSW.GamePass ,落雪木马由VB 语言编写,一般加的是 nSPack 3.1 的壳,也就是通常所说的北斗壳(North Star),该木马文件图标一般是红色的,很像网络游戏的登陆器。如图: hlEV--_kWH
落雪木马可以盗取包括魔兽世界,传奇世界,征途,梦幻西游,边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备构成了极大的威胁。 VT
病毒行为分析: zrD+a b)d
病毒运行后,将创建下列文件(以Windows XP 系统为例): 9^}ut5o#L
c:\program files\common files\iexplore.pif, 47274字节 ] rTI -=
c:\program files\internet explorer\iexplore.com, 47274字节 ' F E{i
c:\windows\1.com, 47274字节 ]8 m5i\ i[
c:\windows\debug\debugprogram.exe, 47274字节 1 *Z
c:\windows\exeroute.exe, 47274字节 xr> x4' 1
c:\windows\explorer.com, 47274字节 ?MWZ#iiOV
c:\windows\finder.com, 47274字节 ;;&`bVfp;#
c:\windows\winlogon.exe, 47274字节 \q ? b4siI
c:\windows\System32\command.pif, 47274字节 *:CIb| 1DP
c:\windows\System32\dxdiag.com, 47274字节 w nU! LOn
c:\windows\System32\finder.com, 47274字节 5e O_0 L
c:\windows\System32\msconfig.com, 47274字节c:\windows\System32\regedit.com, 47274字节 kl ~[Hn t
c:\windows\System32\rundll32.com, 47274字节 kg `xG0 >
在注册表中添加下列启动项: bT4s ? ta
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] AHn tu+`
"Torjan Program" = %WinDir%\winlogon.exe Z \cM ]2U
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] cSfw%"@ &
"Shell" = explorer.exe 1 !):}5Y* r
这样,在Windows启动时,病毒就可以自动执行。 {: G&6 SF
病毒通过修改下列注册表键值,改变IE默认主页等信息: oP {¬3(
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] uV Sw@g=\;
"Check_Associations" = no E <,eap
病毒通过修改下列注册表键值,修改文件关联: Um"w1
[HKEY_CLASSES_ROOT\dunfile\shell\open\command] 9<gk ^% Uy
"" = %systemroot%\system32\rundll32.com netshell.dll,invokedunfile %1 8k*\z1^=M;
[HKEY_CLASSES_ROOT\file\shell\open\command] A l:)]3E?
"" = rundll32.com url.dll,fileprotocolhandler %l .U{< 2ePr
[HKEY_CLASSES_ROOT\htmlfile\shell\open\command] e#d:02D[&
"" = "c:\program files\internet explorer\iexplore.com" -nohome 6 _P ry
这样,用户打开任何dun html文件,都会再次运行病毒程序。 5(LE30 0
大家可以看到,该木马会生成很多文件,并且文件的大小都是一样的,这可能就是落雪木马名称的由来吧!其实这些文件都是同一个文件,只是文件名称不同而已。生成的病毒文件模拟成正常的工具名称,只是扩展名该成了 .com,这是利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,当用户调用 Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,可见病毒作者的“良苦用心”。 .\5 b+n6 $
落雪木马会创建一个名为winlogon.exe 的进程,这个进程的路径是c:\windows\winlogon.exe,以此来迷惑用户。 K DJ__VG
落雪木马会创建以下键值实现开机自启动: G D32 "#
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] < 1r* 6L[`
"Torjan Program"="C:\\WINNT\\WINLOGON.EXE" A21wq]To ,
注册表位置如图: V5A|L( v8S
落雪木马还有一个很特别的地方,就是这个木马不仅仅感染C盘,还会在D 盘中也留下木马文件,如图: k 8*
autorun.inf 文件是一个自动运行的脚本程序,里面内容如下, _A=AXwT &A
[autorun] swqu8Y ¬r
OPEN=D:\pagefile.pif .a%Z5 f?cT
很明显,即便是用户中毒之后将C盘的病毒杀干净了,一旦双击D盘还会重新感染落雪木马,可见这个木马的作者利用了人门很多操作习惯上的漏洞。
新落雪木马竟携14个病毒文件专盗网游账号
专门针对网络游戏的“落雪”新木马发作后,竟然会在电脑中生成14个名称各异的病毒文件,并反复发起攻击。这款罕见的多文件木马病毒能轻易盗取网络游戏账号和密码,让玩家伤透了脑筋。
一些网游玩家日前向北京江民公司举报,称他们的账号和密码接连被盗,杀毒软件也突然异常终止工作。经过分析玩家上报的可疑文件样本,江民反病毒中心的专家确认“作案者”为一款名为“落雪”的新木马病毒,《魔兽世界》《传奇世界》《梦幻西游》等常见网络游戏都是它的攻击对象,危害极大。
据专家介绍,“落雪”也称“游戏大盗”,通常伪装成网络游戏登录器来迷惑玩家。一旦发作,它会在电脑中生成14个病毒文件,很难彻底查杀。狡诈的施毒者为病毒起的文件名与正常系统文件极为相似,以此引诱玩家上当点击激活病毒。施毒者还修改了注册表的文件关联,这样每当用户点击HTML类型文件时,病毒都会运行。
“落雪”难以查杀的另一个原因是,它运行后会在电脑D盘下生成一个自动运行批处理文件,即使C盘中的病毒文件被清除,但只要用户打开D盘,病毒仍然可以被激活。据了解,江民反病毒中心目前已找到对付“落雪”的办法,并紧急升级了病毒库。
