flyleaf 发表于 2008-7-11 11:50

Trojan-PSW.Win32.OnLineGames.sbyr分析

一、病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.sbyr
病毒类型: 木马
文件 MD5: 876F54018159B461E5762A9DD18D232A
公开范围: 完全公开
危害等级: 3
文件长度: 17,253 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: FSG 2.0 -> bart/xt

二、病毒描述:
该病毒为木马。其目的是盗取传奇世界游戏账号密码和密保卡信息。病毒运行后修改注册表,在Windows程序初始化中添加大量病毒项,
此木马可以协助其他同类病毒添加启动项,负责添加启动项。病毒首先释放fghdd.dll并在内存加载,随之fghdd.dll释放dfxh.dllvfdh.dll,
使用psapi.dll中的EnumProcessModules进行进程和进程模块枚举,用GetModuleFileNameExA获得ANSI字符串方式模块进程名;
将释放文件插入到Explorer.exe和Spoolsv.exe中,用以监视新的进程的启动。利用SetWindowsHookExA设置全局键盘钩子;
用ZwTerminateProcess保护自身不被结束;监视woool.dat进程利用SendMessageW和PostMessageA发送断线消息或禁止玩家登陆。
本体运行后删除自身。

三、行为分析:

本地行为:
1、 文件运行后会释放以下文件
%System32%\dfxh.dll
%System32%\fghdd.cfg
%System32%\fghdd.dll
%System32%\vfdh.dll
2、 新增注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
新建键值:字符串:dfxh.dll,vfdh.dll,hjmasd.dll,aserg.dll,dfgwag.dll,zdhere.dll,sfjfth.dll,sefgj.dll,dbhgy.dll,mhgdfg.dll,sdvfrr.dll,gfhter.dll,nmsdjh.dll,
hrafh.dll,fgjd.dll,xfnh.dll,bgyu.dll,xdrhcj.dll,zsrdygx.dll,dfhvk.dll,xdfthjh.dll,cvbtfs.dll,cgydj.dll,zsdgrgh.dll,fghdd.dll,bgcjty.dll,dbgj.dll,
xcfgh.dll,cvnghk.dll,vgxdcg.dll,chjg.dll,vnfxd.dll,nbmfu.dll,xdbjy.dll,vbjxbnm.dll,xgngj.dll,cxvbh.dll,fgjt.dll,cnbv.dll,cvnhk.dll,vgjzrg.dll,
cvjdfh.dll,sdfhk.dll,gmnait.dll,xdbnm.dll,xbnft.dll,myuf.dll,hkxddrh.dll,xszdvf.dll,zdfgf.dll,bnmdgh.dll,bxdfh.dll,cncft.dll,cfjzsxn.dll,dfbghj.dll,
dgbzd.dll,nhjsd.dll,shedgr.dll,xbfhxd.dll,bngyjuf.dll,xdgxr.dll,bnmft.dll,xcvgu.dll,szggfj.dll,zsggixd.dll,bnhugk.dll,xdhuk.dll,dxgjgfy.dll,
fgjderg.dll,asfhjy.dll,swegfuj.dll,cxfhf.dll,hjukrt.dll,dhdhvv.dll,vdfthjk.dll,xdfrg.dll,zsgjfh.dll,cvbyj.dll,nmxdt.dll,bhdryn.dll,nbkfy.dll,xsdjd.dll,
xuxdg.dll,nmdgkn.dll,xdhts.dll,vcnyd.dll,zsdth.dll
旧: 字符串: ""
描述:将衍生的文件添加到windows程序初始化中达到随系统启动的目的。
其中只有vfdh.dll、fghdd.dll、dfxh.dll有实际操作路径,此病毒为其他同类病毒的辅助;不但具有盗号功能同时有为其他病毒添加自启动功能。

注释:
%Windir%      WINDODWS所在目录
%DriveLetter%    逻辑驱动器根目录
%ProgramFiles%    系统程序默认安装目录
%HomeDrive%      当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp%      当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%   是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是C:\Windows\System;
WindowsXP中默认的安装路径是C:\Windows\System32。


四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),
ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天防线2008或ATool中的“进程管理”关闭病毒进程
结束Exploerer.exe进程,结束Spoolsv.exe模块中的dfxh.dll、fghdd.dll、vfdh.dll。

(2) 强行删除病毒文件
%System32%\dfxh.dll
%System32%\fghdd.cfg
%System32%\fghdd.dll
%System32%\vfdh.dll

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
新建键值:字符串:dfxh.dll,vfdh.dll,hjmasd.dll,aserg.dll,dfgwag.dll,zdhere.dll,sfjfth.dll,sefgj.dll,dbhgy.dll,mhgdfg.dll,sdvfrr.dll,
gfhter.dll,nmsdjh.dll,hrafh.dll,fgjd.dll,xfnh.dll,bgyu.dll,xdrhcj.dll,zsrdygx.dll,dfhvk.dll,xdfthjh.dll,cvbtfs.dll,cgydj.dll,zsdgrgh.dll,
fghdd.dll,bgcjty.dll,dbgj.dll,xcfgh.dll,cvnghk.dll,vgxdcg.dll,chjg.dll,vnfxd.dll,nbmfu.dll,xdbjy.dll,vbjxbnm.dll,xgngj.dll,cxvbh.dll,
fgjt.dll,cnbv.dll,cvnhk.dll,vgjzrg.dll,cvjdfh.dll,sdfhk.dll,gmnait.dll,xdbnm.dll,xbnft.dll,myuf.dll,hkxddrh.dll,xszdvf.dll,zdfgf.dll,
bnmdgh.dll,bxdfh.dll,cncft.dll,cfjzsxn.dll,dfbghj.dll,dgbzd.dll,nhjsd.dll,shedgr.dll,xbfhxd.dll,bngyjuf.dll,xdgxr.dll,bnmft.dll,
xcvgu.dll,szggfj.dll,zsggixd.dll,bnhugk.dll,xdhuk.dll,dxgjgfy.dll,fgjderg.dll,asfhjy.dll,swegfuj.dll,cxfhf.dll,hjukrt.dll,dhdhvv.dll,
vdfthjk.dll,xdfrg.dll,zsgjfh.dll,cvbyj.dll,nmxdt.dll,bhdryn.dll,nbkfy.dll,xsdjd.dll,xuxdg.dll,nmdgkn.dll,xdhts.dll,vcnyd.dll,zsdth.dll
旧: 字符串: ""
页: [1]
查看完整版本: Trojan-PSW.Win32.OnLineGames.sbyr分析