病毒周报(100322至100328)

动物家园计算机安全咨询中心（ www.kingzoo.com）反病毒斗士报：

“游戏窃取者”（Trojan/Win32.Vilsel.ogc[GameThief]） 威胁级别：★★

    该恶意代码文件为梦幻诛仙游戏盗号木马，病毒运行之后在%System32%\drivers目录下创建bmtpws31.dat文件并将病毒作者回传地址及账户信息存放在该文件中，一旦截取到游戏账号和密码则读取该文件中的地址以URL或邮件方式上传到作者指定的地址中，衍生kb****.dll（*号为随机数字）和wsconfig.db文件到%System32%目录下，删除临时目录下的~t12.tmp和~23.tmp文件，拷贝系统imm32.dll文件到临时目录下命名为~t12.tmp并在文件尾部添加一个节名为.ss32，并向该节写入850字节数据修改文件的入口点，拷贝%System32%目录下的imm32.dll改名为imm32.dll.bak，先动态加载一下imm32.dll然后再释放，动态加载sfc_os.dll系统文件，调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护，然后将修改过的imm32.dll拷贝到%System32%目录下替换系统的imm32.dll文件，以达到加载imm32.dll文件来执行病毒代码的目的，遍历进程查找gameclient.exe进程找到之后强行结束该进程，释放BAT批处理文件删除病毒自身文件，将病毒DLL文件注入到conime.exe进程中，病毒DLL文件被注入后创建互斥量M_1484_-1，创建2个线程对比游戏内存16字节数据是否匹配（E621582CC93BB589D16F67488F61D582），如果匹配到，则再次对游戏进程的模块进行对比139字节数据并将匹配后的模块地址保存起来，以上条件成立后则获取当前窗口的坐标并截取下当前窗口作为.\tmpimg.bmp保存到病毒所在目录下以获取密保之类的信息，读取游戏目录下的.\wtf\serveraddr.ini配置文件获取游戏账号所在服务器相关信息，通过内存定位截取游戏账号密码将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中。

“隐秘者”（Trojan/Win32.TDSS.axzy[Rootkit]） 威胁级别：★★

    该病毒运行之后，复制自身到%Temp%目录下，使用Rootkit技术在系统中隐藏自身行为，连接网络下载3个病毒文件（该病毒文件下载的文件可能随时间变化不定），将下载的病毒文件保存到%Temp%目录下，病毒运行完毕后删除自身文件。病毒会连接网络下载文件并运行。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  

   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询