flyleaf 发表于 2009-1-12 10:05

Trojan/Win32.OnLineGames.ubga[stealer]分析

一、病毒标签:
病毒名称: Trojan/Win32.OnLineGames.ubga
病毒类型: 木马
文件 MD5: 0C17E03F41289E47EEB5D0F3F1F48C9C
公开范围: 完全公开
危害等级: 4
文件长度: 22,031 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: Upack V0.37 -> Dwing *
       
二、病毒描述:
       
该病毒为地下城与勇士游戏盗号木马,病毒运行后,衍生随机病毒名DLL文件到%system32%目录下,添加注册表、HOOK启动项、释放批处理BAT文件,用于删除自身、试图将病毒DLL注入到所有进程中。
病毒DLL分析:查找QQLogin.exe、DNF.exe,如找到则创建线程,查找类名"Progman",找到之后设置键盘鼠标钩子、向该窗口发送消息、安装消息钩子,查找HBInject32窗口并发送WM_COPYDATA消息、通过消息钩子截取游戏账号及密码,通过URL方式发送到病毒作者指定的URL中。
       
三、行为分析:
       
本地行为:
1、衍生病毒文件到以下目录
%system32%\24C7CC8E.dll   (随机病毒名)

2、添加注册表、HOOK启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\24C7CC8E
值: 字符串: "{24C7CC8E-0AF7-4AE6-A685-6A03ADA4F71B}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24C7CC8E-0AF7-4AE6-A685-6A03ADA4F71B}\InProcServer32\@
值: 字符串: "C:\WINDOWS\system32\24C7CC8E.dll"

3、查找QQLogin.exe、DNF.exe,如找到则创建线程,查找类名"Progman",找到之后设置键盘鼠标钩子、向该窗口发送消息、安装消息钩子,查找HBInject32窗口并发送WM_COPYDATA消息、通过消息钩子截取游戏账号及密码

网络行为:
        协议:TCP
端口:80
连接地址:http://dnf-1.****.org/6f/leyi13/post.asp
描述:通过URL方式发送到病毒作者指定的URL中

注释:
%Windir%                                           WINDODWS所在目录
%DriveLetter%                                逻辑驱动器根目录
%ProgramFiles%                                系统程序默认安装目录
%HomeDrive%                                当前启动系统所在分区
%Documents and Settings%        当前用户文档根目录
%Temp%                                                当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%                                        是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是C:\Windows\System;
WindowsXP中默认的安装路径是C:\Windows\System32。
       
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”查找系统进程模块找到病毒模块24C7CC8E.dll(随机病毒名),将其卸载掉
(2) 强行删除病毒文件
%system32%\24C7CC8E.dll   (随机病毒名)
(3) 删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\24C7CC8E
删除ShellServiceObjectDelayLoad 键下的24C7CC8E(随机键值)键值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24C7CC8E-0AF7-4AE6-A685-6A03ADA4F71B}\InProcServer32\@
值: 字符串: "C:\WINDOWS\system32\24C7CC8E.dll"
删除InProcServer32键下的@键值
页: [1]
查看完整版本: Trojan/Win32.OnLineGames.ubga[stealer]分析