flyleaf 发表于 2008-11-20 16:00

Trojan-Dropper.Win32.Agent.byn分析

一、 病毒标签:
病毒名称: Trojan-Dropper.Win32.Agent.byn
病毒类型: 木马
文件 MD5: BE3BA0FEF8DB0795E73078A83BF13EB4
公开范围: 完全公开
危害等级: 4
文件长度: 22,977 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing

二、 病毒描述:
该病毒为盗取完美世界游戏账号木马,病毒运行后,释放病毒文件到%System32%目录下,获取%temp%文件夹目录使用CMD命令"/c copy "拷贝自身到该目录下,调用CMD命令启动%temp%下的病毒文件,释放病毒文件到%temp%下,分别重命名为:tx_6.exe、txwmx86_6.dll,病毒运行完后使用CMD命令删除病毒原文件,添加病毒RUN启动项(原病毒体文件),注册病毒CLSID值,添加HOOK启动项,试图将病毒DLL注入到系统除外的所有进程中,调用API利用全局钩子获取游戏句柄记录游戏账号及木马信息,通过URL方式发送到病毒作者指定的地址中。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%system32%system32\avwgcmn.dll (盗取完美世界游戏的病毒DLL文件,利用全局钩子获取游戏信息)
%system32%system32\avwgcst.exe (游戏盗号主文件)
%system32%system32\avwgain.dll(该文件为获取游戏信息所要发送的URL地址)
%Documents and Settings%\当前所在用户\Local Settings\Temp\txwmx86_0.exe (病毒原文件)
%Documents and Settings%\当前所在用户\Local Settings\Temp\txwmx86_6.dll (该病毒DLL监视大量游戏进程,如存在则向改游戏发送并记录消息)被监视的游戏进程有:
"MY.EXE"、"GAME.EXE"、"GAMECLIENT.EXE"、"ELEMENTCLIENT.EXE"、"ELEMENTCLIENT.EXE"、"WOW.EXE"、"SUNGAME.EXE"、"SOUL.EXE"、"XY2.EXE"、"MIR1.DAT"、"QQFO.EXE"、"CLIENT.EXE"、"WOOOL.DAT"、"XYMAIN.BIN"、"ZEROONLINE.EXE"、"QQSG.EXE"、"QQHXGAME.EXE"、"GACCORELOADER.EXE"、"BO.EXE"

2、病毒运行完后利用PAI ShellExecuteA函数启动CMD命令删除病毒原文件,试图将病毒DLL注入到系统除外的所有进程中,调用API利用全局钩子获取游戏句柄记录游戏账号及木马信息

3、创建注册表病毒服务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
新: 字符串: "avwgcmn.dll"
旧: 字符串: ""
描述:添加病毒AppInit_DLLs启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3A1247C1-53DA-FF43-ABD3-345F323A48D3}\InprocServer32\@
值: 字符串: "%system32%system32\avwgcmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{3A1247C1-53DA-FF43-ABD3-345F323A48D3}
值: 字符串: "avwgcmn.dll"
描述:添加病毒HOOK项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Intel Chipset Monitor
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\txwmx86_0.exe"

网络行为: 
1、获取游戏账户信息后通过URL方式发送到指定的地址中,接收游戏账户信息地址为:
http://www.sina-****.cn/wmgj2007/9023facai/post.asp

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”系统进程中包含avwgcmn.dll、txwmx86_6.dll的DLL找到后将其卸载掉
(2)使用ATOOL工具“文件管理“按路径查找并删除以下文件
%system32%system32\avwgcmn.dll
%system32%system32\avwgcst.exe
%system32%system32\avwgain.dll
%Documents and Settings%\当前所在用户\Local Settings\Temp\txwmx86_0.exe
%Documents and Settings%\当前所在用户\Local Settings\Temp\txwmx86_6.dll
(3)删除病毒创建的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
删除AppInit_DLLs键下的avwgcmn.dll键
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
删除CLSID键下的{3A1247C1-53DA-FF43-ABD3-345F323A48D3}病毒CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除ShellExecuteHooks键下的{3A1247C1-53DA-FF43-ABD3-345F323A48D3}病毒CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Run键下的avwgcmn.dll键Intel Chipset Monitor主键值
页: [1]
查看完整版本: Trojan-Dropper.Win32.Agent.byn分析