flyleaf 发表于 2009-4-29 10:32

Trojan/Win32.LdPinch.afcm[GameThief]分析

一、 病毒标签:
病毒名称: Trojan/Win32.LdPinch.afcm
病毒类型: 木马
文件 MD5: E69F89FDEF8AF2370C13DA7D58D101A5
公开范围: 完全公开
危害等级: 4
文件长度: 23,659 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24

二、 病毒描述:
该恶意文件为盗取“武林外传”游戏账号木马,病毒运行后,创建线程、删除%Windir%\Fonts目录下的“bKkCsU7Z6YntjH4G.ttf”(随机病毒名)和%System32%目录下的“VnTU2WAqUcZA6.dll”(随机病毒名),创建2个同名文件到相应的目录下,调用API函数动态加载病毒DLL文件,添加注册表HOOK启动项及CLSID值,将病毒DLL注入到Explorer.exe进程中,病毒运行完毕后调用CMD删除自身文件,安装键盘消息钩子、截取用户游戏帐号及密码,读取该游戏目录下的userdata\currentserver.ini文件,获取用户所在游戏服务器的相关信息,通过URL发送到木马种植者指定的接收网址。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%Windir%\Fonts\bKkCsU7Z6YntjH4G.ttf (随机病毒名)
%System32%\VnTU2WAqUcZA6.dll (随机病毒名)

2、新增注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D267113-499A-4EEF-998D-C45731C1B313}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\VnTU2WAqUcZA6.dll"
描述:添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0D267113-499A-4EEF-998D-C45731C1B313}
值: <值未设置>
描述:添加病毒HOOK项

网络行为:
1、数据传输的参数有如下几种形式
%s&vc=%s%s%s%s%s/mb.asp
/vkm.asp? act=read%s-%s-%s

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)打开atool中的文件管理工具,强行卸载Explorer.exe进程中的VnTU2WAqUcZA6.dll病毒模块
(2) 使用atool中的文件管理删除病毒文件
%Windir%\Fonts\bKkCsU7Z6YntjH4G.ttf (随机病毒名)
%System32%\VnTU2WAqUcZA6.dll (随机病毒名)
(3) “开始”“运行”中输入“regedit”删除注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D267113-499A-4EEF-998D-C45731C1B313}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\VnTU2WAqUcZA6.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0D267113-499A-4EEF-998D-C45731C1B313}
值: <值未设置>
页: [1]
查看完整版本: Trojan/Win32.LdPinch.afcm[GameThief]分析