木马尝试关闭标题含Sysinternals的窗口Win32.Troj.Undef.11776

【赛迪网-IT技术报道】收到一个病毒分析报告，这个病毒将Sysinternals系列工具软件列为新的对抗目标。www.Sysinternals.com提供了一系列非常优秀的系统管理小工具，其中Process Explorer、autoruns、filemon、regmon、tcpview、dbgview是手动杀毒爱好者经常使用的工具。

以下是这个病毒的详细信息

病毒全名：Win32.Troj.Undef.11776

病毒长度：11776

威胁级别：★★

病毒类型：木马

病毒简介

这是一个盗号木马程序，该程木马会盗取网络游戏账号，关闭杀毒软件。

病毒运行特征

1、释放文件

%systemroot%\SoftwareDistribution\Uninstall.bin
%systemroot%\system32\cryptnet21.dll
%systemroot%\system32\NvCpl64.dll
%systemroot%\system32\IPv6.dll
%systemroot%\system32\WinXP.bmp
%systemroot%\system32\drivers\ReSSDT.sys

在每个分区的根目录下生成

Thumbs.lnk
AutuRun.inf

2、添加注册表启动项

HKLM\SOFTWARE\Microsoft\windows\currentversion\
runNvCpl = "rundll32.exe %systemroot%\system32\NvCpl64.dll,NvStartup"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
WindowsAppInit_DLLs = "%systemroot%\system32\IPv6.dll"

将"%systemroot%\system32\WinXP.bmp"，添加到BHO中。BHO名字为Thunder5BHO，CLSID为{00000231-1000-0010-8000-00AA006D2EA4}。

3、躲避杀毒软件查杀

关闭窗口标题带有以下关键字的窗口

Monitor、Sysinternals、Watcher、监视、360、木马、code1984、巡警、卫士

释放驱动%systemroot%\system32\drivers\ReSSDT.sys恢复SSDT，对抗主动防御，关闭360进程。

4、当有新的存储设备接入电脑时，在其根目录下生成

Thumbs.lnk
AutuRun.inf

5、利用鼠标挂钩注入DLL到系统中的所有进程。

6、盗取《倚天2》的账号

通过查找游戏内存的特征指令，补丁游戏的内存，盗取账号。

(责任编辑：李磊)