Novell迷

本站QQ群:29602181
Novell 讨论交流群

搜索

热门标签

返回首页
当前位置: Novell迷 > 站长博客 >

梦幻诛仙木马:假输入法sougou.ime木马

时间:2010-03-28 20:23来源:bbs.ggsafe.com 作者:Sagittarius[巨盾安全 点击:
一、样本信息 木马名称:Trojan.OnlineGame.Mhzx 样本名字: mhzx.exe gameclien.exe(执行后自动复制更名) sougou.ime 文件大小: mhzx.exe31.5KB(32,256字节) sougou.ime26.5KB(27,136字节) 文件校验: mhzx.exeMD5:A55AB0

一、样本信息

  1. 木马名称:Trojan.OnlineGame.Mhzx  
  2. 样本名字:  
  3.            mhzx.exe   
  4.            gameclien.exe(执行后自动复制更名)  
  5.            sougou.ime  
  6. 文件大小:  
  7.            mhzx.exe  31.5 KB (32,256 字节)  
  8.            sougou.ime  26.5 KB (27,136 字节)  
  9. 文件校验:  
  10.            mhzx.exe MD5:A55AB087477D92E11DDC5BE6A066C03E  
  11.            sougou.ime MD5:D59AF8FE7A13C1C81BD1D9565E7B173D  
  12. 加壳方式:无壳 
 
本文引用自http://novell.me

二、现象描述
1.system32目录下会多出以下三个文件sougou.ime(真正的搜狗输入法为sougoupy.ime),mhzxin.bat,mhzx.reg,mhzx.bat,以及C:\Program
Files\WLmhzx\gameclien.exe.
2.打开输入法管理器会,点击属性会 弹出提示框:"windows标准输入法扩展服务 v1.0"如图1所示:
  Novell迷网站內容,版权所有

  CopyRight http://novell.me

三、木马行为 Novell迷,迷Novell

该木马通过网页挂马,下载者下载执行,或者外挂捆绑在用户机器执行。 本文转载自http://novell.me

1.将自身复制到c:\\Program Files\WLmhzx\目录下,并更名为gameclien.exe.生成1.bat批处理删除当前文件,并执行C:\Program
Files\WLmhzx\gameclien.exe,

本文转载自http://novell.me

2.从C:\Program
Files\WLmhzx\下执行后会,在system32目录下生成以下4个文件,并执行mhzxbin.bat。
mhzx.bat
  内容来自Novell迷网站 

  1. start "" "C:\Program Files\WLmhzx\gameclien.exe" 
 
本文引用自Novell迷网站

mhzx.reg
  Novell迷网站內容,版权所有 

  1. Windows Registry Editor Version 5.00  
  2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}]  
  3. "StubPath"="C:\\WINDOWS\\system32\\mhzx.bat"  
  4. [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}] 
 版权所有,未经Novell迷允许,不得转载!


mhzxin.bat

内容来自http://novell.me

  1. regedit.exe /s mhzx.reg 
 内容来自http://novell.me

sougon.ime为梦幻诛仙盗号主程序。安装,注册为输入法,打开输入法管理器会多出一项:英文(美国)。
点属性,会弹出上面的那个图示,然后再广播WM_INPUTLANGCHANGEREQUEST消息,将该木马输入法加载到所有窗口的进程中。 Novell迷网站原创内容,未经允许,谢绝转载!

四、木马特点
该木马除了跟上次所说的DNF假输入法木马一样外,比他要更难清除.
其使用了一般很少安全软件留意的加载项,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components,而且就算安全软件发现了该加载项有问题,
其调用执行的是一个bat,真实执行的并不在system32目录,而是C:\Program Files\WLmhzx\gameclien.exe木马加载器.

CopyRight http://novell.me

五、清除方法
大家可以找到这些文件后(system32目录下的sougou.ime,mhzxin.bat,mhzx.reg,mhzx.bat,以及C:\Program
Files\WLmhzx\gameclien.exe.)使用巨盾文件粉碎工具强行删除,再使用输入法管理器删除上面所述的输入法即可.
注册表方面,可以使用注册表管理器清除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\下子键{12345678-b1gf-14d0-89bb-0090ce808666}]所有内容.

http://Novell.Me

转载请注明出处!
本文地址 http://novell.me/master-diary/2010-03-28/sougou.ime-virus.html
(责任编辑:Novell迷)
对我有帮助
(3)
75%
没什么帮助
(1)
25%
------分隔线----------------------------
发表评论
验证码:点击我更换图片
最新评论 进入详细评论页>>
赞助商链接
推荐内容
热点内容

关于我们 | 加群须知 | 捐助本站 | 网站声明 | 网站地图 | 联系我们 | 会员中心 | TAG标签 | RSS订阅
Copyright © 2009 Novell迷 版权所有苏ICP备14034963号-1

苏公网安备 32059002001001号

P0wered By D3d3CMS