概要
病毒名稱:密碼張(Trojan/PSW.Zypws.al)病毒類型:木馬
病毒大小:118784位元組,111104位元組,18944位元組
傳播方式:網路
危害等級:★★
2004年6月23日,江民反病毒中心率先截獲“密碼張”木馬病毒的最新變種(Trojan/PSW.Zypws.al)。該病毒運用視窗訊息掛鈎和API掛鈎等技術竊取傳奇遊戲帳號密碼等信息,提交給病毒作者維護的網頁腳本。
具體技術特徵如下:
1. 病毒運行後,將在用戶計算機中創建以下檔案:
%WinDir%\windll.exe, 118784位元組,病毒程式自身
%WinDir%\hook.dll, 18944位元組,病毒模組,用來進行訊息掛鈎和API掛鈎
%WinDir%\winsoftdll.dll, 111104位元組,病毒模組,用來嵌入到系統進程。
2. 病毒根據用戶Windows系統版本不同,分別添加不同的註冊表啟動項:
Windows 98:
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"windll.exe" = windll.exe
Windows 2000/XP:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon】
"Shell" = explorer.exe %WinDir%\windll.exe
3. 把%WinDir%\winsoftdll.dll模組注入到EXPLORER.EXE進程中,此時病毒主程式退出。winsoftdll.dll被載入後,開啟一個計時器,每隔2秒做下面的事情:
重寫上文列出的病毒註冊表鍵值;
建立共享記憶體區,從本地傳奇遊戲檔案中偷取用戶信息,保存在共享記憶體中;
搜尋傳奇登入視窗和IE瀏覽器視窗,一旦發現它們,就調用另一個病毒模組Hook.dll對目標視窗安裝訊息掛鈎;
4. 傳奇登入視窗和IE視窗被安裝了訊息掛鈎後,對這些視窗進行的任何操作都會激活Hook.dll病毒模組。Hook.dll將對目標視窗進程的send,recv和TextOutA三個API函式進行掛鈎,此時用戶通過IE傳送接受的信息以及傳奇視窗上回顯的文字信息都會被病毒截獲。當病毒確定已經竊取到用戶的帳號、密碼等信息後,會提交給遠程網頁腳本:
http://www.shen**.org.cn/download/upfile.asp
http://www.mir**.net/inc/login.asp
5. 病毒還會從網上獲取自身的最新版本,進行自我更新。
6. 病毒代碼有“這一次你要還是能查得出來,算你狠.呵呵”,“世界上只有一個中國”等字樣。