危险等级：★★★
病毒名称：Trojan.PSW.Win32.XYOnline.acd
截获时间：2008.03.10
入库版本：20.35.10
类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

清除难度：困难

破坏力：低

   盗取密码病毒，盗取大话西游2的帐号和密码。主程序和dll用C语言编写，upx加壳保护。主病毒体运行后执行如下操作：

    1、释放如下文件：
 %system32%\msosdohs00.dll
 %system32%\drivers\msosfpids32.sys
    2、添加如下注册表和系统文件信息以达到自启动：
 注册表：
  1     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = MSOSDOHS00.DLL
  2     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpids32(Display
Name)fpids32 = (IMAGEPATH)\??\%SYSTEM%\DRIVERS\MSOSFPIDS32.SYS

    3、遍历进程搜索avp.exe进程并关闭。

    4、将释放的dll注入explorer.exe进程。

    5、加载驱动(释放的msosfpids32.sys)。

病毒dll执行如下操作：

    1、其它线程不断搜索杀毒软件进程并破坏其运行。
 
    2、遍历进程搜索xy2.exe(大话西游2)进程，然后将自己注入其进程， 通过搜索内存的方式盗取游戏帐号和密码。
 
    3、与病毒的驱动进行通信(将自己的文件名发给驱动)，通过驱动保护自己。
 
    4、注入ie进程，通过http协议发送盗取到的密码信息，穿透防火墙。

病毒的sys执行如下操作：
 
    通过在ssdt上下钩子的方法钩取ZwQueryDirectoryFile函数，以此保护病毒自己的文件。

安全建议：
    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

    3 不浏览不良网站，不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

    杀毒软件清除办法：

    安装杀毒软件，升级，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

（责任编辑：hahack）