病毒名称: Trojan-PSW.Win32.Lmir.bnx
病毒类型: 木马
文件MD5: 5CD80D1B024986FD8D626391DB23051E
公开范围: 完全公开
危害等级: 3
文件长度: 67,377 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 无
病毒描述:
该病毒属木马类,病毒运行后复制自身到系统目录%windir%下,重命名为IGM.exe,备份病毒名为:庆贺十七大祖国越来越好,衍生病毒文件192896MM.DLL、888,并删除自身;修改注册表,添加启动项,以达到随机启动的目的;使用IE浏览器打开网站“中国残疾人联合会” (http://www.cdpf.org.cn/);该木马可以盗取用户网络游戏传奇的账号与密码。
行为分析:
本地行为:
1、病毒运行后衍生病毒文件,并删除自身:
%Windir%\192896MM.DLL
%Windir%\IGM.exe
%Windir%\庆贺十七大祖国越来越好
%Windir%\888
2、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " WinSysM"="C:\WINDOWS\IGM.exe"
3、使用IE浏览器打开网站“中国残疾人联合会”
http://www.cdpf.org.cn/
4、该木马可以盗取用户网络游戏传奇的账号与密码。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32.
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
代码分析:
1、复制原文件到系统目录%Windir%下,并重命名为IGM.exe:
0040513D . 50 push eax ; |ExistingFileName 0040513E . E8 49ECFFFF call Trojan-P.00403D8C ; \CopyFileA
|
2、删除病毒原文件:
0040516A . 50 push eax ; /FileName 0040516B . E8 34ECFFFF call Trojan-P.00403DA4 ; \DeleteFileA
|
3、使用IE浏览器打开网站“中国残疾人联合会” (http://www.cdpf.org.cn/):
00405248 . 6A 05 push 5 ; /IsShown = 5 0040524A . 6A 00 push 0 ; |DefDir = NULL 0040524C . 68 70554000 push Trojan-P.00405570 ; |Parameters =
"http://www.cdpf.org.cn/" 00405251 . 68 88554000 push Trojan-P.00405588 ;|FileName = "IEXPLORE.EXE" 00405256 . 68 98554000 push Trojan-P.00405598 ; |Operation = "open" 0040525B . A1 98784000 mov eax,dword ptr ds:[407898] ; | 00405260 . 50 push eax ; |hWnd => NULL 00405261 . E8 9AEFFFFF call Trojan-P.00404200 ; \ShellExecuteA
|
4、添加IGM.exe为注册表启动项:
00405273 . B9 A0554000 mov ecx,Trojan-P.004055A0 ; ASCII "WinSysM" 00405278 . BA A8554000 mov edx,Trojan-P.004055A8 ; ASCII
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
|
以下为病毒衍生文件192896MM.DLL的反汇编代码:
5、检查网络是否正常连接:
003D6381 . 68 98633D00 push 192896MM.003D6398 ; /Arg1 = 003D6398 003D6386 . E8 E5EEFFFF call 192896MM.003D5270 ; \192896MM.003D5270
|
6、检测mir1和mir2的进程ID:
003D733D . B8 2C743D00 mov eax,192896MM.003D742C ; ASCII "mir1.dat" 003D7342 . E8 E9DDFFFF call 192896MM.003D5130 ;检测mir1的进程ID 003D7347 . E8 18D1FFFF call <jmp.&kernel32.GetCurrentProcessId>
; [GetCurrentProcessId 003D734C . 3B45 F8 cmp eax,dword ptr ss:[ebp-8] 003D734F 74 4C je short 192896MM.003D739D ;检测mir1的进程ID,
如果不存在则跳转到检测mir2的进程ID 003D738B > /68 38743D00 push 192896MM.003D7438 ; /Arg1 = 003D7438 003D7390 . |E8 DBDEFFFF call 192896MM.003D5270 ; \192896MM.003D5270 ;绑定mir1 003D73A2 . B8 50743D00 mov eax,192896MM.003D7450 ; ASCII "mir2.dat" 003D73A7 . E8 84DDFFFF call 192896MM.003D5130 ;检测mir2的进程ID 003D73AC . E8 B3D0FFFF call <jmp.&kernel32.GetCurrentProcessId>
; [GetCurrentProcessId 003D73B1 . 3B45 F8 cmp eax,dword ptr ss:[ebp-8] 003D73B4 75 66 jnz short 192896MM.003D741C ;(如检测不到
mir2的进程ID则跳转到退出界面。 003D7402 > /68 5C743D00 push 192896MM.003D745C ; /Arg1 = 003D745C 003D7407 . |E8 64DEFFFF call 192896MM.003D5270 ; \192896MM.003D5270 ;绑定mir2
|
7、检查用户游戏玩家装备、元宝、等级:
003D7FCC |. BA C0823D00 mov edx,192896MM.003D82C0 003D7FD1 |. E8 C6B8FFFF call 192896MM.003D389C ;检查玩家身上装备 003D80FF |. BA E8823D00 mov edx,192896MM.003D82E8 003D8104 |. E8 5BB9FFFF call 192896MM.003D3A64 ;检查玩家包裹装备 003D81AA |. 68 FC823D00 push 192896MM.003D82FC 003D81AF |. 8D55 C4 lea edx,dword ptr ss:[ebp-3C] 003D81B2 |. 8B07 mov eax,dword ptr ds:[edi] 003D81B4 |. E8 3FC6FFFF call 192896MM.003D47F8 ;检查玩家金币 003D81EE |. 68 18833D00 push 192896MM.003D8318 003D81F3 |. 8D55 C0 lea edx,dword ptr ss:[ebp-40] 003D81F6 |. 8B07 mov eax,dword ptr ds:[edi] 003D81F8 |. E8 FBC5FFFF call 192896MM.003D47F8 ;检查玩家等级
|
