“征途木马变种YMF”病毒摘要

危险等级：★★★
病毒名称：Trojan.PSW.Win32.ZhengTu.ymf
入库版本：20.21.61
类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

[b]威胁情况：[/b]
传播级别：低
全球化传播态势：低
清除难度：易
破坏力：中
破坏手段：偷取网络游戏帐号

这是一个偷取网络游戏"征途"相关信息的木马程序
    该病毒分为两部分:EXE部分负责关闭相关杀毒软件,修改注册表自启动,释放DLL并注库.DLL部分负责具体的偷取过程,自我保护等.
    一,EXE部分:
  
    病毒运行后先使用OpenEvent打开一个"ZHGHAKUIQIQOSWW_ZT"的事件,如果打开成功,则直接退出,如果没有该事件,则使用CreateEvent创建该事件,以便保证在当前系统内只有一个实例在运行.
  
    病毒使用Process32First,Process32Next遍历系统进程,查找"Twister.exe(费尔杀毒软件进程)","FilMsg.exe"一旦发现该进程存在系统中,则使用OpenProcess,TerminateProcess关掉该进程.
  
    病毒使用CreateThread创建两个线程.
  
    线程一:遍历进程,一旦发现进程中存在"RavMon.exe(瑞星杀毒软件进程)",使用OpenProcess打开该进程,使用Thread32First,Thread32Next遍历该进程中的线程,在EnumThreadWindows的CallBack函数中使用PostMessage向该进程发送WM_Command消息,关闭瑞星杀毒软件.
  
    线程二:使用FindWindow查找AVP.AlertDialog和AVP.Product_Notification窗口,如果发现窗口存在,则向"允许"和"跳过"两个Button上使用SendMessage发送WM_LBUTTONUP和WM_LBUTTONDOWN消息.则AVP杀毒软件的预警系统失效.
    病毒使用GetSystemDirectory得到%SYSTEM32%目录,从自身资源中释放出DLL并复制到%SYSTEM32%目录命名为55550.dll,再使用LoadLibrary加载该DLL.
    至此,EXE工作结束.
    二,DLL部分:
  
    病毒遍历进程查找"zhengtu.dat"当发现该进程时,病毒使用ReadProcessMemory从游戏进程中读取所需的信息,再发送到指定的网址上,
[url]http://pt.xx.vc/ok/zt/lin.asp[/url]
    病毒会使用WriteProcessMemory往explorer.exe进程中注入一段远程代码,该代码的作用就是循环查找%SYSTEM32%目录中的55550.dll是否存在,如果发现病毒DLL文件已经不存在,则重新写入一个新的DLL进去,达到自我保护的目的.

[b]安全建议：[/b]
    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。
    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。
    3 不浏览不良网站，不随意下载安装可疑插件。
    4 不接收QQ、MSN、Emial等传来的可疑文件。
    5 上网时打开杀毒软件实时监控功能。
    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

[b]清除办法：[/b]
    瑞星杀毒软件清除办法：
    安装瑞星杀毒软件，升级到20.21.61版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

密切注意！

嗯,支持一下!