“魔域盗号木马变种DU”

　　这是一个C语言编写的病毒，病毒主要功能为窃取网络游戏《魔域》用户密码，具有自我保护功能。

　　病毒行为如下：

　　1.病毒首先会调用Process32First，Process32Next函数，查找系统中是否有AVP.EXE进程，如果有则将系统时间变为2003（程序中固定将SystemTime.wYear定为:"2007+(-4)"）,通过修改本地时间，来使得AVP的KEY失效，AVP不能使用。

　　2.调用FindWindow查找如下窗口：

　　"Class = "#32770"，Title = "瑞星注册表监控提示""；

　　"Class = "#32770"，Title = "IE执行保护""；

　　"Class = "#32770"，Title="瑞星卡卡上网安全助手-IE防漏墙""；

　　"AVP.AlertDialog"；

　　"AVP.Product_Notification"；

　　"AVP.TrafficMonConnectionTerm"

　　如果找到如上窗口，病毒会调用SendMessage函数，发送WM_LBUTTONDOWN，WM_LBUTTONUP消息实现模拟鼠标点击事件，通过此方法来通过杀毒软件的防护功能。

　　3.病毒会调用CopyFile等文件操作的API函数将自身复制到病毒构造指定路径

　　"C:Program FilesNetMeetingravmymon.exe"下，调用WinExec函数将此文件运行起来，调用DeleteFile将原样本删除。

　　4.复制到系统中的ravmymon.exe运行后，释放出dll和配置文件分别为以下指定名称，并将此3个文件的属性设置为HIDDEN，SYSTME。

　　C:Program FilesNetMeetingravmymon.cfg

　　C:Program FilesNetMeetingravmymon.dat

　　5.调用CreateRemoteThread起远程线程将动态库ravmymon.dat驻入到EXPLORER.EXE进程中。

　　6.调用RegSetValueExA，RegCreateKeyExA在注册表中添加自启动项：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

　　"ravmymon" = C:PROGRAM FILESNETMEETINGRAVMYMON.EXE

　　释放出的动态库文件主要作用为盗取魔域游戏密码的功能。

　　1.该DLL被加载后首先调用CreatMute创建一个互斥量，保证系统中只运行其一个实例。

　　2.使用SetWindowsHook,CallNextHook挂消息钩子，搜索并结束"soul.exe"的进程，使得用户需要重新登陆游戏，调用FindWindow去查找的游戏窗口"【魔域】"，获得该窗口句柄，查找其相应输入窗口"#32770"，获取用户输入信息。

　　3.当病毒得到游戏帐号和密码后,病毒传播者将获得的游戏帐号和其密码通过HTTP方式发送到木马散播者的设定的URL中。

　　安全建议：

　　1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

　　2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

　　3 不浏览不良网站，不随意下载安装可疑插件。

　　4 不接收QQ、MSN、Emial等传来的可疑文件。

　　5 上网时打开杀毒软件实时监控功能。

　　6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

　　清除办法：

　　瑞星杀毒软件清除办法：

　　安装瑞星杀毒软件，升级到19.19.40版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。