Trojan/Win32.Magania.gen [Stealer]分析
一、 病毒标签:病毒名称: Trojan/Win32.Magania.gen
病毒类型: 盗号木马
文件 MD5: EADEC3BFF1EED804F04B00D084A313AC
公开范围: 完全公开
危害等级: 4
文件长度: 17,965 字节
感染系统: Windows98以上版本
加壳类型: Upack V0.37 -> Dwing *
二、 病毒描述:
该病毒为诛仙游戏盗号木马,病毒运行后,遍历进程查找my.exe,判断%System32%目录下是否存在hbzhuxian.dll文件,如存在则删除DLL文件,诺不存在则创建病毒互斥量"HBInjectMutex",创建病毒文件System.exe、HBZHUXIAN.dll到%System32%目录下,调用API函数将%System32%目录下的System.exe病毒文件创建进程,查找类名为“AskTao"”的窗体,找到后则向该窗体发送消息,试图将病毒DLL注入到所有进程中,打开注册表设置360安全卫士项、将安全性降低,删除360安全卫士注册表启动项,添加注册表启动项、释放BAT批处理文件到%Temp%目录下,病毒运行完毕后使用批处理文件删除自身。
病毒DLL文件行为:判断自身进程是否注入到elementclient.exe进程中,如果是则创建一个线程,通过查找窗体类名为"Shell_TrayWnd"来定位Explorer进程,然后将下载代码注入该进程中,通过全局钩子截取诛仙游戏账号及密码,通过URL发送到作者制定的地址中。
三、 行为分析:
本地行为:
1、遍历进程查找my.exe,判断%System32%目录下是否存在hbzhuxian.dll文件,如存在则删除DLL文件,诺不存在则创建病毒互斥量"HBInjectMutex",调用API函数将%System32%目录下的System.exe病毒文件创建进程,查找类名为“AskTao"”的窗体,找到后则向该窗体发送消息,试图将病毒DLL注入到所有进程中,病毒运行完毕后使用批处理文件删除自身
2、文件运行后会释放以下文件
%System32%\HBZHUXIAN.dll
%System32%\System.exe
3、修改注册表、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
新: 字符串: "HBZHUXIAN.dll"
旧: 字符串: ""
描述:添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HBService32
值: 字符串: "System.exe"
描述:添加注册表启动项
设置以下注册表键值,降低360Safe软件的安全设置:
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\arpaccess = 0
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\UDiskAccess = 0
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\ExecAccess = 0
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\IEProtAccess = 0
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\LeakAccess = 0
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\MonAccess = 0
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\nonotileak= 0
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\nonotinews= 0
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\weeken= 0
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\SiteAccess = 0
删除360安全卫士注册表启动项:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\360safetray
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\360safebox
5、病毒DLL文件行为:判断自身进程是否注入到elementclient.exe进程中,如果是则创建一个线程,通过查找窗体类名为"Shell_TrayWnd"来定位Explorer进程,然后将下载代码注入该进程中,通过全局钩子截取诛仙游戏账号及密码
网络行为:
协议:TCP
端口:80
连接地址:http://xiaohaiwocha.911wa****.com/lyzong/post.asp
描述:向以上地址提交游戏账户及密码相关信息,以下为数据格式提交
erver=&account=&password1=&password2=&levels=&cash=&cash2=&PassWord4=&PassWord5=&name=&specialSign=ZX12-26&ProtPass
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“结束System.exe病毒进程
(2) 强行删除病毒下载的大量病毒文件
%System32%\HBZHUXIAN.dll
%System32%\System.exe
(3)删除病毒添加的注册表启动项及劫持的安全软件项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
删除AppInit_DLLs键下的HBZHUXIAN.dll键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HBService32
删除Run键下HBService32主键值
页:
[1]