Trojan/win32.WOW.fcj[Stealer]分析
一、 病毒标签:病毒名称: Trojan/win32.WOW.fcj
病毒类型: 蠕虫
文件 MD5: 7A70C305218F89ED273458425E838A15
公开范围: 完全公开
危害等级: 4
文件长度: 22,776 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
二、 病毒描述:
该病毒为魔兽世界游戏木马,病毒运行后,创建互斥量,检测注册表是否存在魔兽游戏注册键值,遍历进程查找wow.exe、avp.exe、KVMonXP.exe进程,找到进程后释放病毒文件到%temp%临时目录下重命名为:WowInitcode.dat,将自身移动到该目录下、并将属性设置为隐藏,使用函数动态加载WowInitcode.dat病毒文件,试图将病毒衍生的文件注入到所有进程中。
WowInitcode.dat病毒文件分析:判断自身是否在explorer.exe进程中,如是则设置消息钩子,创建互斥量,查找部分软件类名及标题名,找到后则发送关闭消息,通过消息钩子截取魔兽世界游戏账号密码相关信息,以URL方式发送到病毒作者指定的地址中。
三、 行为分析:
本地行为:
1、调用CreateMutexA函数创建互斥量名为:wowwqrqewrweqrwqer,检测注册表是否存在魔兽游戏注册键值:SOFTWARE\Blizzard Entertainment\World of Warcraft,遍历进程查找wow.exe、avp.exe、KVMonXP.exe进程,将自身移动到该目录下重命名为wsasystem.gif、并将属性设置为隐藏,使用LoadLibraryA函数动态加载WowInitcode.dat病毒文件
2、文件运行后会释放以下文件
%Documents and Settings%\当前所在用户\Local Settings\Temp\WowInitcode.dat
%Documents and Settings%\当前所在用户\Local Settings\Temp\wsasystem.gif
3、判断WowInitcode.dat是否在explorer.exe进程中,如是则设置消息钩子,创建互斥量,通过消息钩子截取魔兽世界游戏账号密码相关信息,查找含有以下标题的软件找到后则发送关闭消息:
游戏
木
马
检测
大
师
.bu师
ild.bu师
20060120
(测20060120
试
版)试
网络
嗅
探器
(影探器
音
神
探)神
sock
mon2005 for win9x/msock
井底
之娃-无限制版!!!
the e
thereal n
etwork a
nalyzeretwork a
游戏
木
马
检测
大
师
.bu师
ild.bu师
20051123
(测20060120
试
版)试
游戏
木
马
检测
大
师
.bu师
ild.bu师
20051020
(测20060120
试
版)试
游戏
木
马
检测
大
师
.bu师
ild.bu师
20051019
(测20060120
试
版)试
游戏
木
马
检测
大
师
.bu师
ild.bu师
20051027
(测20060120
试
版)
网络行为:
描述:截取游戏账户信息,根据游戏账户所在不同区的信息,通过URL方式发送到不到的地址中,回传格式:
action=ok&u=&p=action=ok&u=&pn=&s=&pn=&dj=&jb=&js=
/flash.asp
/wowflash.asp
/2wowgetmb.asp
/wowreadmb.asp
/flash.asp
/2getmb.asp/flash.asp
/1readmb.asp
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“查找当前进程中包含的WowInitcode.dat模块,找到到将其卸载掉
(2)强行删除病毒衍生的文件
%Documents and Settings%\当前所在用户\Local Settings\Temp\WowInitcode.dat
%Documents and Settings%\当前所在用户\Local Settings\Temp\wsasystem.gif
页:
[1]