Trojan-GameThief.Win32.OnLineGames.thxa分析
一、 病毒标签:病毒名称: Trojan-GameThief.Win32.OnLineGames.thxa
病毒类型: 盗号木马
文件 MD5: 50C7FE447FCA494864C90E9C8F17A395
公开范围: 完全公开
危害等级: 4
文件长度: 15,928 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳工具: Upack V0.37 -> Dwing *
二、 病毒描述:
该病毒为梦幻西游游戏盗号木马,病毒行后衍生病毒DLL文件到%System32%目录下重命名为:twlspdgz.DLL、twlspdgz.nls(随机病毒名),注册病毒CLSID值,添加HOOK启动项,调用LoadLibraryA函数将病毒DLL文件加载并试图注入到所有进程中,释放BAT批处理文件到%Temp%目录下,用于删除自身,判断进程是否存在my.exe进程,如存在则通过SetWindowsHookExA函数截获键盘消息,使用BroadcastSystemMessageA函数发送消息给指定的接受者,以便截取用户的帐号信息。
三、 行为分析:
本地行为:
1衍生病毒文件到以下目录
%system32%\twlspdgz.dll 2,269,184 字节
%system32%\twlspdgz.nls 288 字节
2添加注册表启动项
注册表值: “@”
类型: REG_SZ
字符串:"C:\WINDOWS\system32\otpkdnxp.dll"
描述:注册CLSID值
注册表值:"otpkdnxp.dll"
类型: REG_SZ
字符串:"{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}"
描述: 将病毒文件的ID号添加到HOOK项中,使explorer.exe进程自动加载病毒文件。
2调用LoadLibraryA函数将病毒DLL文件加载并试图注入到所有进程中,释放BAT批处理文件到%Temp%目录下,用于删除自身,BAT代码:
del "病毒原文件位置"
if exist "病毒原文件位置" goto t
del
3判断进程是否存在my.exe进程,如存在则通过SetWindowsHookExA函数截获键盘消息使用BroadcastSystemMessageA函数发送消息给指定的接受者,
注: %System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL进程管理工具查找所有进程模块中的twlspdgz.dll将其卸载掉
(2) 强行删除病毒文件
%system32%\twlspdgz.dll
%system32%\twlspdgz.nls
(3)删除病毒添加的注册表
注册表值: “@”
类型: REG_SZ
字符串:"C:\WINDOWS\system32\otpkdnxp.dll"
描述:注册CLSID值
注册表值:"otpkdnxp.dll"
类型: REG_SZ
字符串:"{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}"
页:
[1]