替换系统“rpcss.dll”文件的病毒分析.docVIP

　　替换系统“rpcss.dll”文件的病毒分析～教育资源库 　　英文名称：TrojanSpy.OnLineGames.iyo 　　中文名称：网游窃贼变种iyo 　　病毒长度：12060字节 　　病毒类型：木马 　　危险级别：★★ 　　影响平台：E/NT/2000/XP/2003 　　MD5 校验：c403b5d5ea1448efeb2d2ae71d41f5c3 　　============================================================================================ 　　简单描述： 　　该病毒会通过替换系统rpcss.dll文件来实现开机自启动。是一个专门窃取网络游戏帐号的木马程序。同时，它还会窃取网络游戏用户的密码保护资料。 　　中毒现象： 　　1、杀毒后系统不能上网。 　　2、杀毒后系统粘贴功能失效。 　　3、杀毒后系统任务栏上的部分信息不能正常显示。 　　4、杀毒后系统桌面程序explorer.exe启动非常慢，等好长时间才能显示出来桌面。 　　============================================================================================ 　　病毒主程序TrojanSpy.OnLineGames.iyo部分的分析： 　　============================================================================================ 　　加壳名称：Upack V0.37 -gt; Dp~ddc967.tmp 文件大小：34,816 字节，文件名称随机。 　　病毒主程序通过rundll32.exe进程调用运行病毒释放出来的DLL组件文件： 　　FF15 CALL DoduleFileName = NULL 　　0012FC1C　 0012FCB4 |mandLine = rundll32 C:DOCUME~1ADMINI~1LOCALS~1Temp~ddc967.tmp INS C:Documents and SettingsAdministrator桌面neent = NULL 　　0012FC34　|CurrentDir = NULL 　　0012FC38　 0012FC44 |pStartupInfo = 0012FC44 　　0012FC3C　 0012FC88 pProcessInfo = 0012FC88 　　病毒主程序在被感染计算机系统中安装完毕后会自我删除。 　　============================================================================================ 　　病毒释放组件~ddc967.tmp部分的分析： 　　============================================================================================ 　　采用高级语言编写，可能加壳。 　　文件大小：34,816 字节。 　　该DLL组件一般会被插入到explorer.exe、csrss.exe、svchost.exe等系统进程，以及几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。 　　----------------------------------------------------------------------------- 　　1、插入系统进程csrss.exe： 　　监视DLL组件是否被调用，如果发现不存在(发现被关闭掉)则重新调用，达到自我保护的目的。 　　2、插入系统进程explorer.exe： 　　调用病毒组件C:32gdipro.dll运行。躲避安全软件主动防御和监控等，达到自我保护的目的。 　　3、插入系统进程svchost.exe： 　　(1)、自我复制为C:32gdipro.dll 　　(2)、通过sfc_os.dll来去除系统C:32rpcss.dll文件的保护： 　　-------------------------------------------- 　　10012D0 1234下一页 友情提醒：，特别！3　　FF15 C0200110　 CALL Dodule = 76C30000 (sfc_os) 　　0006F340　 0