Trojan/Win32.OnLineGames. bhsj[Stealer]分析
一、 病毒标签:病毒名称: Trojan/Win32.OnLineGames.bhsj
病毒类型: 盗号木马
文件 MD5: FF15AA97CBC8AC53D0679EB5D7B685FE
公开范围: 完全公开
危害等级: 3
文件长度: 30,208 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX
二、 病毒描述:
该恶意代码文件为多款网络游戏盗号木马,它可以针对不同的游戏使用不同的手段进行窃取游戏的账号密码,该病毒会创建修改系统的imm32.dll文件,用于加载病毒衍生的DLL文件,这样做的目的是不需要添加注册表启动项,从而可以躲避部分安全软件对其主动防御拦截,病毒会在%Windir%目录下创建一个sysdf17.log该文件记录游戏账号信息,病毒窃取到游戏账号密码后以POST方式回传到作者指定的地址中。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\ole.dll
EXE外壳分析:病毒运行后对进程进行提权操作,遍历进程茶渣AYServiceNT.aye进程,如果找到该进程后则调用OpenThread获得该进程线程句柄,然后调用SuspendThread挂机该进程的线程,查找类名和标题为"AHNTASK_SESSION"的窗口,找到之后试图停掉wscsvc服务(这个服务是系统的安全中心),查找并加载名为81类型为IDR_DLL的资源,获取%System32%目录下的ole.dll文件属性,如文件不存在则创建,否则将文件重命名一份在创建新的,释放批处理删除自身文件。
1、调用"taskkill /F /IM NVCAgent.npc"命令强行结束NVCAgent.npc进程,并试图尝试打开并停止Nsavsvc服务。
2、将%System32%目录下的imm32.dll命名为imm32.dll.log,动态加载sfc_os.dll并调用#5号函数解除对imm32.dll的保护,然后把imm32.dll文件拷贝到临时目录下对其进行修改,遍历文件的节表判断是否存在.racpv节,添加的恶意代码的作用是负责加载病毒创建的ole.dll文件。
ole.dll病毒DLL文件分析:
1、判断自身是否被注入到:mupdate2.exe、autoup.exe、v3lsvc.exe、ayupdate.aye如果是被注入到这些进程中病毒则会退出。
2、判断自身如果被注入到v3ltray.exe进程中,则会在该进程偏移0x1C00处查找并匹配8B55F48B82B400003800BDFFB67517E1305A96A81800508090909090特征码,匹配成功后将该节的属性修改为可读可写,并将该特征码的首2个字节修改为9090。
3、判断自身如果被注入到pmclient.exe进程中则会HOOK NTDLL.DLL中的RtlAllocateHeap函数调用,使其调用RtlAllocateHeap函数跳到病毒代码区执行恶意代码,并遍历该进程中的Baduki.dll模块句柄,匹配改模块中偏移0x40B00处的C744243C07000000特征码,匹配成功后退出。
4、判断自身如果被注入到aion.bin进程中则会遍历查找game.dll模块,获取该模块基址匹配模块偏移0x35DF00处的8BC88A8684030000
特征码,匹配成功后修改模块内存地址数据。
5、还会判断自身是否被注入到:ff2client.exe、client.exe、dragonnest.exe进程中同样会遍历各个游戏的模块修改HOOK游戏进程数据,解密回传参数地址等信息。
网络行为:
病毒获取游戏账号密码后以POST方式根据不同的游戏以下参数回传到病毒作者地址中
u=%s+p=%s+p2=%s+s=%s+a=%s+r=%s+g=%d+m=%d+mb=%s+ver=%s_%d
u=%s+p=%s+s=ms_ie+mb=%s+ver=%s_%d
u=%s+p=%s+a=hangame+ver=%s_%d
u=%s+p=%s+a=pmang+m=%s+p2=%s+ver=%s_%d
u=%s+p=%s+a=netm+ver=%s_%d
a=han_lin+u=%s+p=%s+s=%s+ver=%s_%d
a=%s+u=%s+p=%s+s=%s+r=%s+g=%d+ver=%s_%d
u=%s+p=%s+p2=%s+ver=%s_%d
u=%s+p=%s+p2=%s+s=%s+ver=%s_%d
u=%s+p=%s+ver=%s_%d
u=%s+p=%s+p2=%s+ver=%s_%d
u=%s+p=%s+a=pmang+s=fifa+r=%s+ver=%s_%d
u=%s+p=%s+a=aion+r=%s+ver=%s_%d
u=%s+kp=%s+ver=%s_%d
注: %System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”关闭游戏进。
(2) 强行删除病毒文件
%System32%\ole.dll
%System32%\imm32.dll
(3) 将%System32%目录下的imm32.dll.log命名为imm32.dll
页:
[1]