flyleaf 发表于 2010-3-19 10:26

Trojan/Win32.Vilsel.ogc[GameThief]分析

一、 病毒标签:
病毒名称: Trojan/Win32.Vilsel.ogc
病毒类型: 木马
文件 MD5: 991798CE5EC495C51CA8946E8D3BA060
公开范围: 完全公开
危害等级: 4
文件长度: 13,948 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: Upack

二、 病毒描述:
该恶意代码文件为梦幻诛仙游戏盗号木马,病毒运行之后在%System32%\drivers目录下创建bmtpws31.dat文件并将病毒作者回传地址及账户信息存放在该文件中,一旦截取到游戏账号和密码则读取该文件中的地址以URL或邮件方式上传到作者指定的地址中,衍生kb****.dll(*号为随机数字)和wsconfig.db文件到%System32%目录下,删除临时目录下的~t12.tmp和~23.tmp文件,拷贝系统imm32.dll文件到临时目录下命名为~t12.tmp并在文件尾部添加一个节名为.ss32,并向该节写入850字节数据修改文件的入口点,拷贝%System32%目录下的imm32.dll改名为imm32.dll.bak,先动态加载一下imm32.dll然后再释放,动态加载sfc_os.dll系统文件,调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护,然后将修改过的imm32.dll拷贝到%System32%目录下替换系统的imm32.dll文件,以达到加载imm32.dll文件来执行病毒代码的目的,遍历进程查找gameclient.exe进程找到之后强行结束该进程,释放BAT批处理文件删除病毒自身文件,将病毒DLL文件注入到conime.exe进程中,病毒DLL文件被注入后创建互斥量M_1484_-1,创建2个线程对比游戏内存16字节数据是否匹配(E621582CC93BB589D16F67488F61D582),如果匹配到,则再次对游戏进程的模块进行对比139字节数据并将匹配后的模块地址保存起来,以上条件成立后则获取当前窗口的坐标并截取下当前窗口作为.\tmpimg.bmp保存到病毒所在目录下以获取密保之类的信息,读取游戏目录下的.\wtf\serveraddr.ini配置文件获取游戏账号所在服务器相关信息,通过内存定位截取游戏账号密码将截取到得账号密码及图片以URL或email方式发送到作者指定的地址中。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\drivers\bmtpws31.dat    (读取该文件获取发送地址和发送方式)
%System32%\wsconfig.db            (病毒文件的存放路径)
%System32%\imm32.dll             (病毒修改后的系统库文件用于启动病毒文件)
%System32%\kb****.dll             (病毒原文件)

2、删除临时目录下的~t12.tmp和~23.tmp文件,拷贝系统imm32.dll文件到临时目录下命名为~t12.tmp并在文件尾部添加一个节名为.ss32向该节写入850字节数据修改文件的入口点,拷贝%System32%目录下的imm32.dll为imm32.dll.bak,先动态加载一下imm32.dll然后再释放,动态加载sfc_os.dll系统文件,调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护

3、修改过的imm32.dll拷贝到%System32%目录下替换系统的imm32.dll文件,以达到加载imm32.dll文件先执行病毒代码的目的,遍历进程查找gameclient.exe进程找到之后强行结束该进程,释放BAT批处理文件删除病毒自身文件,将病毒DLL文件注入到conime.exe进程中,病毒DLL文件被注入后创建互斥量M_1484_-1,创建2个线程对比游戏内存16字节数据是否匹配(E621582CC93BB589D16F67488F61D582),如果匹配到,则再次对游戏进程的模块对比139字节数据:
6A 5C 6A 00 53 E8 00 00 C1 E6 04 03 75 E4 00 00 5C 1B 93 AA EE 6D AA 56 87 36 D5 3B FB EA 23 DC 8B 8E AC 00 00 00 50 C6 44 24 64 02 E8 00 00 00 8B 48 1C 8B 41 08 C3 90 8B 86 64 01 00 00 8D 4C 24 0C 00 00 FF 52 30 50 6A 00 8B CE 8B 78 0C B9 50 00 00 00 8D 0C 9B 8B 7C 24 1C 00 E8 9B 8E 3A 47 72 E0 65 FB C6 EE 71 67 55 85 70 54 8E 51 FA 67 D5 41 38 4E 95 85 AD F0 DB 95 DC B8 82 F5 17 94 BE FB 4D 8C 13 6C E9 B5 E2 D6 E7
匹配上之后并将匹配后的模块地址保存起来,以上条件成立后则获取当前窗口的坐标并截取下当前窗口作为.\tmpimg.bmp图片保存到病毒所在目录下以获取密保之类的信息,读取游戏目录下的.\wtf\serveraddr.ini配置文件获取游戏账号所在服务器相关信息

网络行为:
1、将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中

0=http://denglu.foxyeye****.com:8085/lin.asp
1=hankemail
2=hankeimg
3=7219

0=http://denglu.foxyeye****.com:8085/lin.asp
1=hankemail
2=hankeimg
3=7219

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用atool中的文件管理删除病毒文件
%System32%\drivers\bmtpws31.dat   
%System32%\wsconfig.db            
%System32%\imm32.dll         
%System32%\kb****.dll
将%System32%\ 目录下的imm32.dll.bak替换为imm32.dll
页: [1]
查看完整版本: Trojan/Win32.Vilsel.ogc[GameThief]分析