flyleaf 发表于 2010-8-27 10:12

Trojan/Win32.Frethoq.atm[GameThief]分析

一、 病毒标签:
病毒名称: Trojan/Win32.Frethoq.atm
病毒类型: 盗号木马
文件 MD5: E798E14AD632995707651C15703754C0
公开范围: 完全公开
危害等级: 4
文件长度: 17,044 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX

二、 病毒描述:
该恶意代码文件为征途盗号木马,病毒文件运行后会衍生出多个DLL文件到系统目录下,并判断系统是否安装了征途游戏,如果安装了则读取游戏目录下的INI配置文件,并通过读取游戏的内存地址获取游戏账号和密码,以URL方式发送到作者指定的地址中。

三、 行为分析:
本地行为:
1、如果安装了征途游戏则衍生文件到
征途游戏目录\ksuser.dll
征途游戏目录\mmgl18.dll
%Documents and Settings%\当前用户\Local Settings\Temp\qEOdR5.exe
%Documents and Settings%\当前用户\Local Settings\Temp\qEOdR5.dll
如果没安装征途游戏则衍生文件到
%System32%\ksuser.dll
%System32%\mmgl18.dll
%Documents and Settings%\当前用户\Local Settings\Temp\qEOdR5.exe
%Documents and Settings%\当前用户\Local Settings\Temp\qEOdR5.dll

2、该恶意代码文件为征途游戏盗号木马,病毒运行后拷贝征途游戏目录目录下的ksuser.dll为aksuser.dll,开启一个线程遍历进程查找zhengtu.dat进程,如果找到之后调用ntsd -c q -p命令关闭其进程,又开启一个线程遍历查找注册表是否有征途游戏的安装键值,衍生ksuser.dll文件到游戏安装目录,枚举注册表临时运行记录缓存的键值判断是否有《征途》客户端的数据键值,找到之后衍生病毒文件到游戏目录内,如果找不到衍生病毒DLL文件到征途游戏目录目录下和%TEMP%目录下,添加注册表启动项、病毒运行之后删除自身文件。

3、添加注册表病毒启动项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
值: 字符串“\??\C:\DOCUME~1\a\LOCALS~1\Temp\qEOdR5.exe...”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: 字符串“\??\C:\DOCUME~1\a\LOCALS~1\Temp\qEOdR5.exe...”

4、ksuser.dll病毒DLL文件的分析:
首先解密回传信息URL,然后创建线程动态加载mmgl18.dll病毒文件,读取征途游戏安装目录下的config.ini配置文件获取游戏所在区域信息,这个病毒通过内存读取技术获取游戏账号及密码以URL方式发送到作者指定的地址中。

网络行为:
将获取的游戏账户及木马以以下URL回传参数方式提交到病毒作者地址:
http://www.55ba***.cn/fen/mmqf04/post.asp?d00=%s&d01=%s&d10=%s&d11=%s&d20=%s&d21=%s&d22=%s&d30=%s&d32=%s&d40=%s&d45=%s&d50=%s&d70=%d&para=%s&d90=%d (游戏账号回传地址)

http://www.55ba***.cn/fen/mmqf04/mibao.asp?act=getpos&d10=%s&pos=&d80=%d (密报回传地址)

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是%WINDOWS%\System
    windowsXP中默认的安装路径是%system32%   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“结束病毒80334937.dll模块
(2)强行删除病毒文件
如果安装了征途游戏则衍生文件到
征途游戏目录\ksuser.dll
征途游戏目录\mmgl18.dll
%Documents and Settings%\当前用户\Local Settings\Temp\qEOdR5.exe
%Documents and Settings%\当前用户\Local Settings\Temp\qEOdR5.dll
如果没安装征途游戏则衍生文件到
%System32%\ksuser.dll
%System32%\mmgl18.dll
%Documents and Settings%\当前用户\Local Settings\Temp\qEOdR5.exe
%Documents and Settings%\当前用户\Local Settings\Temp\qEOdR5.dll
(3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SessionManager\PendingFileRenameOperations
删除SessionManager键下的PendingFileRenameOperations值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
删除SessionManager键下的PendingFileRenameOperations值
页: [1]
查看完整版本: Trojan/Win32.Frethoq.atm[GameThief]分析