flyleaf 发表于 2009-4-13 13:46

Trojan/Win32.WOW.hfg[GameThief]分析

本帖最后由 flyleaf 于 2009-7-20 14:04 编辑

一、 病毒标签:
病毒名称: Trojan/Win32.WOW.hfg
病毒类型: 木马
文件 MD5: 4D227C0304823FF0928D0AA504D5076B
公开范围: 完全公开
危害等级: 4
文件长度: 22,264 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++
加壳类型: 未知

二、 病毒描述:
该病毒为盗取网络游戏魔兽世界的木马。病毒运行后通过注册表检测用户是否安装网络游戏魔兽世界,对未安装魔兽世界的计算机病毒将衍生病毒文件到临时目录下,并将病毒原始文件移动到临时目录;如被感染计算机已经安装魔兽世界,病毒将衍生病毒文件到魔兽世界的安装目录下,修改魔兽世界相关程序wow.exe,使得病毒文件衍生的dll文件能够随游戏启动而运行,病毒衍生的dll文件被加载后将挂钩消息循环,截获消息数据,截获的数据将发送到指定的网络页面中;程序运行完毕后将移动病毒原始文件到临时目录下。

三、 行为分析:
本地行为:
1、读取注册表通过键值是否存在和键值的数据判断被感染计算机是否已经安装魔兽世界
Path:
Key:InstallPath
2、文件运行后会释放以下文件
1> 如未安装魔兽世界
%Tmp%\msdfjsadfjd.dat                                        26,360 字节
%Tmp%\mswsasystem.gif                                        22,264 字节
2> 如已安装魔兽世界
%wow install dir%\ msdfjsadfjd.dat                        26,360 字节
%Tmp%\mswsasystem.gif                                        22,264 字节
3、检测进程列表中是否存在wow.exe,如存在且存在进程avp.exe或KVMonXP.exe,病毒将不对wow进行挂钩,将修改wow.exe文件偏移5B9BF0h处数据进行修改,使病毒衍生的dll文件随wow.exe文件的启动而运行。衍生的病毒文件同样导出DivxDecoder.dll文件导出的导出函数,但函数并不具备原函数相同的代码。如果进程中存在wow.exe但没有avp.exe和KVMonXP.exe进程,系统将衍生动态连接库文件到临时目录下,并将之加载调用相关导出函数截获用户信息,如当前没有启动wow.exe,病毒将修改wow.exe文件。
原数据:DivxDecoder.dll
修改后数据:msdfjsadfjd.dat
4、病毒通过挂钩程序的WH_GETMESSAGE消息截获敏感数据。

网络行为:
1、回传数据参数:
&mbh=&p=action=ok&u=&pn=&s=&pn=&dj=&jb=&js=&zy=&fm=act&mbm=

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 删除病毒文件
%wow install dir%\msdfjsadfjd.dat
%Tmp%\mswsasystem.gif
(2)拷贝正常程序wow.exe到游戏目录,覆盖被病毒修改的文件
页: [1]
查看完整版本: Trojan/Win32.WOW.hfg[GameThief]分析