木馬嘗試關閉標題含Sysinternals的窗口

【賽迪網-IT技術報道】收到一個病毒分析報告，這個病毒將Sysinternals系列工具軟體列為新的對抗目標。www.Sysinternals.com提供了一系列非常優秀的系統管理小工具，其中Process Explorer、autoruns、filemon、regmon、tcpview、dbgview是手動殺毒愛好者經常使用的工具。

以下是這個病毒的詳細信息

病毒全名：Win32.Troj.Undef.11776

病毒長度：11776

威脅級別：★★

病毒類型：木馬

病毒簡介

這是一個盜號木馬程序，該程木馬會盜取網絡遊戲賬號，關閉殺毒軟體。

病毒運行特徵

1、釋放文件

%systemroot%/SoftwareDistribution/Uninstall.bin%systemroot%/system32/cryptnet21.dll%systemroot%/system32/NvCpl64.dll%systemroot%/system32/IPv6.dll%systemroot%/system32/WinXP.bmp%systemroot%/system32/drivers/ReSSDT.sys

在每個分區的根目錄下生成

Thumbs.lnkAutuRun.inf

2、添加註冊表啟動項

HKLM/SOFTWARE/Microsoft/windows/currentversion/runNvCpl = "rundll32.exe %systemroot%/system32/NvCpl64.dll,NvStartup"HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/WindowsAppInit_DLLs = "%systemroot%/system32/IPv6.dll"

將"%systemroot%/system32/WinXP.bmp"，添加到BHO中。BHO名字為Thunder5BHO，CLSID為{00000231-1000-0010-8000-00AA006D2EA4}。

3、躲避殺毒軟體查殺

關閉窗口標題帶有以下關鍵字的窗口

Monitor、Sysinternals、Watcher、監視、360、木馬、code1984、巡警、衛士

釋放驅動%systemroot%/system32/drivers/ReSSDT.sys恢復SSDT，對抗主動防禦，關閉360進程。

4、當有新的儲存設備接入電腦時，在其根目錄下生成

Thumbs.lnkAutuRun.inf

5、利用鼠標掛鉤注入DLL到系統中的所有進程。

6、盜取《倚天2》的賬號

通過查找遊戲記憶體的特徵指令，補丁遊戲的記憶體，盜取賬號。

(