logo

开发者热搜

Trojan/PSW.LMir变种gjv:技术解析与防御策略

作者:搬砖的石头2026.02.15 17:36浏览量:1

简介:本文深入解析木马病毒Trojan/PSW.LMir变种gjv的技术特征、传播机制及防御方法,帮助开发者理解其工作原理,掌握检测与清除技术,提升系统安全防护能力。

一、病毒概述与背景

Trojan/PSW.LMir变种gjv(以下简称”LMir.gjv”)是一种针对局域网环境的复合型木马病毒,其核心目标是通过ARP欺骗技术劫持网络流量,并窃取特定游戏玩家的账号密码。该病毒采用Delphi语言编写,具备动态文件生成、注册表持久化及网络协议层攻击能力,主要影响Windows 9X至2003系列操作系统。

从技术演进角度看,LMir.gjv属于”传奇窃贼”木马家族的最新变种。该家族病毒自2003年首次出现以来,通过不断升级网络攻击模块和反检测机制,已形成完整的地下产业链。据安全机构统计,此类病毒造成的年经济损失超过数亿元,其中游戏账号盗取占比达65%以上。

二、核心技术行为分析

1. 文件系统操作

病毒运行后会在系统目录(%WinDir%)生成两个关键文件:

  • 75976M.BMP:伪装成图片文件的PE格式可执行模块,实际包含病毒核心逻辑
  • 75976.DLL:动态链接库文件,负责实现网络通信和账号窃取功能

通过资源编辑器分析发现,BMP文件头部包含标准的位图头结构(BITMAPFILEHEADER),但在偏移量0x36处存在异常的PE文件头标识(MZ)。这种”图片+可执行”的混合设计,可绕过部分基于文件签名的安全检测

2. 注册表持久化

为实现开机自启,病毒会修改以下注册表项:

  1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  2. "SystemCheck"="%WinDir%\\75976M.BMP"

通过注册表编辑器观察,该键值使用系统服务名称作为伪装,且路径指向图片文件,进一步降低用户警惕性。在Windows XP系统中,该启动项会触发svchost.exe进程加载病毒模块。

3. ARP欺骗攻击

病毒的核心网络攻击机制基于ARP协议漏洞:

  1. 监听局域网内的ARP请求包
  2. 构造伪造的ARP响应包,将网关MAC地址篡改为本机地址
  3. 持续发送欺骗包维持路由表污染状态

使用Wireshark抓包分析可见,染毒主机会每30秒发送一次格式如下的ARP包:

  1. Ethernet II, Src: 00:11:22:33:44:55 (染毒主机), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
  2. ARP, Request who-has 192.168.1.1 tell 192.168.1.100, length 46

其中源IP与目标IP均被设置为网关地址,形成逻辑闭环欺骗。

4. 游戏账号窃取

针对《传奇》游戏的专用窃取模块采用内存钩子(Hook)技术:

  1. 注入游戏进程(如Legend.exe)
  2. 挂钩WSASend/WSARecv等网络API
  3. 解析特定协议包提取账号密码字段
  4. 通过HTTP POST方式将数据发送至远程C2服务器

逆向分析显示,该模块支持对2003-2010年间多个版本游戏客户端的协议解析,具备较高的兼容性。数据传输采用AES-128加密,密钥硬编码在DLL文件中。

三、传播与危害评估

1. 传播路径

病毒主要通过三种途径扩散:

  • 捆绑下载:伪装成游戏外挂或补丁文件
  • 移动介质:利用AutoRun.inf实现U盘自传播
  • 网络共享:扫描局域网开放共享文件夹进行投递

在某企业网络环境中,单台染毒主机可在15分钟内污染整个子网,导致80%以上终端出现ARP冲突告警。

2. 危害等级

根据CVSS 3.1评分标准,LMir.gjv的危害等级达8.3/10:

  • 机密性影响:高(窃取游戏账号密码)
  • 完整性影响:中(篡改ARP表)
  • 可用性影响:高(导致网络瘫痪)

实际案例显示,某游戏公会因该病毒导致200余个高级账号被盗,直接经济损失超过50万元。

四、检测与清除方案

1. 静态检测特征

  • 文件特征:BMP文件包含PE头结构
  • 注册表特征:存在异常的SystemCheck启动项
  • 网络特征:持续发送ARP欺骗包(目标IP=网关IP)

2. 动态分析方法

使用Process Monitor监控病毒行为:

  1. 观察%WinDir%目录下的文件创建操作
  2. 捕获注册表Run键值的修改事件
  3. 分析网络连接中的异常HTTP POST请求

3. 清除步骤

  1. 终止进程

    1. taskkill /f /im 75976M.BMP
    2. taskkill /f /im svchost.exe (若被注入)

  2. 删除文件

    1. del /f /q "%WinDir%\75976M.BMP"
    2. del /f /q "%WinDir%\75976.DLL"

  3. 修复注册表

    1. Windows Registry Editor Version 5.00
    2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    3. "SystemCheck"=-

  4. 重置ARP缓存

    1. arp -d
    2. netsh interface ip delete arpcache

五、防御体系构建

1. 终端防护

  • 部署具备行为监控能力的EDR解决方案
  • 启用应用程序白名单机制
  • 定期更新操作系统补丁(特别是ARP协议相关漏洞)

2. 网络防护

  • 在核心交换机部署ARP检测功能
  • 使用下一代防火墙识别异常ARP流量
  • 实施802.1X认证防止非法终端接入

3. 运营措施

  • 建立游戏账号异常登录告警机制
  • 定期开展网络安全意识培训
  • 制定移动介质使用管理制度

六、技术演进趋势

近年来,类似LMir.gjv的木马病毒呈现出以下发展趋势:

  1. 攻击面扩展:从单纯的游戏盗号转向金融账号窃取
  2. 反检测升级:采用虚拟机检测、进程隐藏等技术
  3. 传播渠道多样化:结合物联网设备进行横向渗透
  4. 加密通信强化:使用TLS 1.3等现代加密协议

安全研究人员建议,企业应构建”终端+网络+云端”的立体防护体系,定期进行红蓝对抗演练,持续提升安全运营能力。对于开发者而言,需重点关注内存安全、协议解析等关键领域的代码审计,从源头减少安全漏洞。

相关文章推荐

发表评论

最热文章

关于作者

  • 被阅读数
  • 被赞数
  • 被收藏数
活动
咨询