flyleaf 发表于 2009-6-10 15:47

Trojan/Win32. Magania.beuh[Stealer]分析

一、 病毒标签:
病毒名称: Trojan/Win32. Magania.beuh
病毒类型: 木马
文件 MD5: B46DAB4B54839E623185C2DC8BB6390A
公开范围: 完全公开
危害等级: 3
文件长度: 26,743 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

二、 病毒描述:
该恶意代码文件为QQ三国游戏盗号木马,病毒运行后先删除命名的病毒名文件再衍生相同文件名的病毒文件到Windows字体目录与%System32%目录下,防止多个病毒文件产生的冲突,将病毒DLL文件属性设置为隐藏,动态加载衍生的病毒DLL文件,调用病毒自定义的函数“JUFndB4pARSJ”模块来提升进程权限,添加注册表病毒的CLSID值、HOOK启动项,删除System32%目录下的verclsid.exe文件,病毒运行完毕后使用CMD命令删除自身文件,试图则遍历当前激活状态含有:图片和传真、acdsee、记事本的窗体,找到后截取窗体内容以.jpg格式保存到临时目录下,安装消息钩子读取游戏目录下的\zone.ini用户配置文件,获取用户账户信息通过URL方式将截取的图片文件和账户信息发送到作者指定的地址中。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\UnsrA8Hec.dll                               
%Windir%\Fonts\dPYp4D4P4JwGMCCmq.Ttf                       
2、新增注册表

注册表值: "@"
类型: REG_SZ
值: "C:\WINDOWS\system32\UnsrA8Hec.dll"

注册表值: "默认"
类型: REG_SZ
值: "数值未设定"

3、动态加载衍生的病毒DLL文件,调用病毒自定义的函数“JUFndB4pARSJ”模块来提升进程权限,删除System32%目录下的verclsid.exe文件,试图则遍历当前激活状态含有:图片和传真、acdsee、记事本的窗体,找到后截取窗体内容以.jpg格式保存到%Temp%目录下

网络行为:
将截取到的图片及游戏账户信息以ULR方式通过以下参数回传到作者地址中
getgif.asp/ct=read?%s-%s-%s   图片回传地址
?%s&vc=%s%s%s%s%s       游戏账号回传地址

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 删除病毒文件
%System32%\UnsrA8Hec.dll                               
%Windir%\Fonts\dPYp4D4P4JwGMCCmq.Ttf
(2) 删除病毒添加的注册表项

注册表值: "@"
类型: REG_SZ
值: "C:\WINDOWS\system32\UnsrA8Hec.dll"

注册表值: "默认"
类型: REG_SZ
值: "数值未设定
页: [1]
查看完整版本: Trojan/Win32. Magania.beuh[Stealer]分析