网络游戏窃贼变种AAV” AAV, 网络游戏, 窃贼

fbbm648

网络游戏窃贼变种AAV”
病毒摘要
危险等级：★★★
病毒名称：Trojan.PSW.Win32.GameOnline.aav
截获时间：2007-11-4
入库版本：20.17.12
类型：感染型病毒

感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

清除难度：低

破坏手段：偷取多个网络游戏用户密码
技术细节
    这是一个偷取多个网络游戏用户密码的病毒

    病毒运行后首先会创建一个叫15914244的事件用来防止进程中有多个病毒进程运行。

    然后会创建一个线程查找AVP.Product_Notification、瑞星注册表监控提示、AVP.AlertDialog这个几窗口，如果找到发送WM_CLOSE消息将它们关闭。

    接着调用mixerGetLineControls、mixerGetControlDetails等函数关闭用户的声音设备，使得用户无法听到杀毒软件的声音提示。

    把自己拷贝到System32路径下命名为AVPSrv.exe，添加以下注册表项实现自启动：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
  "AVPSrv" = C:\WINDOWS\AVPSrv.exe

    在System32路径下释放动态库文件AVPSrv.dll，遍历进程找到Explorer.exe进程，通过远程线程把自己注入到该进程中。

    动态库用来获取并发送用户帐号密码：

    动态库被加载起来后首先会调用SetWindowsHookEx函数挂接鼠标键盘钩子。

    然后调用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函数提升自己权限。

    接着判断自己所在进程是否是SO2Game.exe、LaTaleClient.exe、gameclient.exe、cabalmain.exe这几个游戏进程，如果是则结束游戏进程，当用户再次运行游戏时，把自己通过远程线程注入到该进程中，每隔1毫秒查找游戏登陆窗口，获取用户登陆信息并存到System32中的.cfg文件中。

    最后把获得用户输入的帐号密码信息发送到指定网址http://www.niudvd.com/mingmen/lin.asp。

安全建议：

    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

    3 不浏览不良网站，不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

    瑞星杀毒软件清除办法：

    安装瑞星杀毒软件，升级到20.17.12版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。