flyleaf 发表于 2010-10-11 13:59

Trojan/Win32.Onlinegames.kdpa[Stealer]分析

一、 病毒标签:
病毒名称: Trojan/Win32.Onlinegames.kdpa
病毒类型: 盗号木马
文件 MD5:06EAE05DD8D14EDE18ABA405A0F25AC7
公开范围: 完全公开
危害等级: 4
文件长度: 20,420 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0

二、 病毒描述:
该恶意代码文件为龙之谷游戏盗号木马,该病毒文件会判断系统是否安装了龙之谷游戏,若已安装该游戏的话则衍生病毒DLL文件至游戏的文件替换龙之谷的DLL文件,并判断系统中是否安装瑞星杀毒软件;若没有安装龙之谷游戏的话就把自身移动到回收站文件夹内。病毒DLL文件一旦执行之后则会通过内存技术截取游戏的账号和密码,还会截取用户输入密保的图片,将截取的所有敏感信息发送到病毒作者指定的地址中。

三、 行为分析:

本地行为:
1、如果安装了龙之谷游戏则衍生文件到
龙之谷游戏目录\ gamewidget.dll                        (病毒主要模块窃取游戏账号)
%HomeDrive%\Recycled\3591390.tmp                (随机病毒名)

2、病毒运行后获取本地所有有效磁盘盘符,遍历进程查找龙之谷游戏进程"DragonNest.exe",找到之后强行结束该进程,读取注册表是否存在SOFTWARE\snda\dn\MainProg键值,然后读取龙之谷游戏的安装径路,再次遍历进程查找并结束DragonNest.exe进程,判断龙之谷游戏目录下的DragonNestRes.dll文件是否存在,并却判读该DLL文件属性是否是可访问权限,如果是则会创建一个gamewidget.dll病毒DLL来替换龙之谷的DLL文件,这样的目的不需要添加注册表启动项,每次开游戏的时候就会自动加载病毒DLL文件,降低了了安全软件对其查杀率,枚举注册表的临时运行记录的缓存键值Software\Microsoft\Windows\ShellNoRoam\MUICache是否有dragonnest值,如果有就又一次遍历结束DragonNest.exe进程,遍历进程查找RavMonD.exe进程,如果没到该进程则将自身移动到C:\Recycled目录下,每隔2分钟则遍历一次每个磁盘根目录查找"dnlauncher.exe",找到后就创建gamewidget.dll到文件的目录下,如果找不到游戏进程和注册表键值信息,则会将自身拷贝到C:\Recycled回收站目录下。

3、将病毒DLL文件注入到dragonnest.exe进程中,病毒DLL文件一旦被游戏加载之后,拷贝%System32%目录下的midimap.dll命名为lqmidimap.dll,然后创建一个线程首先解密回传地址,判断自身是否被注入在dragonnest.exe进程中,如果不是则退出,如果是就获取gwcore.dll模块句柄这个模块是龙之谷的DLL文件,找到之后在DLL模块申请一段内存空间,并写入病毒代码,读取游戏目录下的lzgserver.ini配置文件获取所在服务器信息,通过内存技术获取账号及木马,这个病毒还会通过获取游戏的窗口空间坐标截取用户的密码保护保存为*.bmp、*.jpg格式的图片和截取的账号密码回传到病毒作者地址中。

4、如果没有安装龙之谷游戏的话就添加注册表病毒启动项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
值: 字符串:“\??\C:\Recycled\3591390.tmp...”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: 字符串:“\\??\C:\Recycled\3591390.tmp...”

网络行为:
将获取的游戏账户及木马以以下URL回传参数方式提交到病毒作者地址:
http://www.201****.com/zshouxin/mibao.asp?%s?act=getpos&d10=%s&pos=&d80=%d    (密报回传地址)

http://www.201****.com/zshouxin/post.asp?%s?d00=%s&d01=%s&d10=%s&d11=%s&d20=%s&d30=%s&d32=%d&d40=%d&d70=%d&para=%s&d90=%d

http://www.201****.com/fliuliang/pp/post.asp?%s?d00=%s&d01=%s&d10=%s&d11=%s&d20=%s&d30=%s&d32=%d&d40=%d&d70=%d&para=%s&d90=%d

回传地址解密算法:
size_t Encryption(char *Str)
{
Char key;
itoa(17409488,key,10);
signed int i;
size_t len;
signed int j;

len = strlen(Str);
for ( i = 0; i < (signed int)len; ++i )
        Str-=i;
for ( j = 0; j < (signed int)len; ++j )
           Str -= key;
return len;
}
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是%WINDOWS%\System
    windowsXP中默认的安装路径是%system32%   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“结束龙之谷游戏进程
(2)强行删除病毒文件
龙之谷游戏目录\ gamewidget.dll
%HomeDrive%\Recycled\3591390.tmp
(3)删除添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
值: 字符串:“\??\C:\Recycled\3591390.tmp...”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: 字符串:“\\??\C:\Recycled\3591390.tmp...”
页: [1]
查看完整版本: Trojan/Win32.Onlinegames.kdpa[Stealer]分析