该病毒运行后,衍生病毒档案到系统目录下。修改用户 LSP项以实现病毒启动。病毒体注入系统进程中获取用户敏感信息发往指定页面。
基本介绍
- 中文名:马瑞恩盗号者
- 外文名: Trojan-PSW.Win32.Maran.cj
- 病毒类型:木马类
- 公开範围:: 完全公开
简介
病毒名称: Trojan-PSW.Win32.Maran.cj
中文名称: 马瑞恩盗号者
病毒类型: 木马类
档案 MD5: 2A08461A388D581B5E24E60828B7DB6C
公开範围: 完全公开
危害等级: 4
档案长度: 48,525 位元组
感染系统: Win9X以上系统
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: Upack 2.4 - 2.9 beta -> Dwing
命名对照: BitDefender[Generic.Malware.FB.078A76C8]
NORMAN[Security Risk W32/Suspicious_U.gen]
病毒描述
行为分析:
1 、衍生下列副本与档案:
%WinDir%\ tl32v20.dll
%WinDir%\svchost.exe
%System32%\ tj7viewer.dll
2 、新建注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\
Parameters\Protocol_Catalog9\Catalog_Entries\000000000013\PackedCatalogItem
Value: Type: REG_BINARY Length: 888 (0x378) bytes
%WINDOWS%\System32\tj7viewer.dll.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\
Parameters\Protocol_Catalog9\Catalog_Entries\000000000012\PackedCatalogItem
Value: Type: REG_BINARY Length: 888 (0x378) bytes
%SystemRoot%\system32\mswsock.dll.??
3 、修改下列注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\
Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
New: Type: REG_BINARY Length: 888 (0x378) bytes
%WINDOWS\System32\tj7viewer.dll.
Old: Type: REG_BINARY Length: 888 (0x378) bytes
%SystemRoot%\system32\mswsock.dll.
4 、插入病毒体 svchost.exe 到所有系统进程中。
5 、病毒传送用户名与密码信息到某 PHP 页面中,格式如下:
http://XXX.com/logger.php
6 、病毒内传送与接收 emai 为用户自设,不固定。
7 、启动方式为通过改变 LSP 实现,也可设为 ActiveX 启动方式。
注: % System% 是一个可变路径。病毒通过查询作业系统来决定当前 System 资料夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
清除方案
1 、 使用360安全卫士(安天木马防线)可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应档案,恢复相关係统设定。
(1) 使用安天木马防线断开网路,结束病毒进程:
%WinDir%\svchost.exe
(2) 删除并恢复病毒添加与修改的注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\Parameters\Protocol_Catalog9\
Catalog_Entries\000000000013\PackedCatalogItem
Value: Type: REG_BINARY Length: 888 (0x378) bytes
%WINDOWS%\System32\tj7viewer.dll.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\Parameters\Protocol_Catalog9\
Catalog_Entries\000000000012\PackedCatalogItem
Value: Type: REG_BINARY Length: 888 (0x378) bytes
%SystemRoot%\system32\mswsock.dll
恢复下列为旧值 :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\Parameters\Protocol_Catalog9\
Catalog_Entries\000000000001\PackedCatalogItem
New: Type: REG_BINARY Length: 888 (0x378) bytes
%WINDOWS\System32\tj7viewer.dll.
Old: Type: REG_BINARY Length: 888 (0x378) bytes
%SystemRoot%\system32\mswsock.dll.
(3) 删除病毒释放档案:
%WinDir%\ tl32v20.dll
%WinDir%\svchost.exe
%System32%\ tj7viewer.dll