flyleaf 发表于 2009-12-28 14:06

Trojan/Win32.Agent.dczu[Stealer]分析

一、 病毒标签:
病毒名称: Trojan/Win32.Agent.dczu
病毒类型: 木马
文件 MD5: 8BCDC5CD75B5A2C8C7074BFBA4774899
公开范围: 完全公开
危害等级: 3
文件长度: 45,488 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0

二、 病毒描述:
该恶意代码文件为魔兽世界游戏盗号木马,病毒运行后判断注册表内是否存在要查询的键值,遍历进程查找wow.exe进程,如找到则遍历进程先查找avp.exe如果找不到则查找KVMonXP.exe进程,如果找到avp.exe后休眠2000ms后判断自身文件进程是否是临时目录下的TW9454.tmp路径文件,如不是则将自身移动到临时目录下并命名为TW9454.tmp,之后退出,如果找到KVMonXP.exe进程后试图拷贝%System32%目录下的lpk.dll命名为syslpk.dll后将病毒自身替换为lpk.dll文件(未成功失败),伪装成系统DLL文件来躲避安全软件的查杀,如果2个进程都找不到则衍生病毒DLL文件直接到临时目录下命名为wfsjowfdsaw.dll,并动态加载该病毒DLL文件,通过病毒DLL文件安装消息钩子截取游戏账号密码,试图将病毒DLL文件注入到所有进程中,并将自身拷贝到临时目录下并命名为TW9454.tmp,将截图到的账号信息以URL方式发送到作者指定的地址中。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%Temp%\wfsjowfdsaw.dll(找到avp.exe、KVMonXP.exe进程则不衍生)
%Temp%\TW9454.tmp

2、遍历进程查找wow.exe进程,如找到则遍历进程先查找avp.exe如果找不到则查找KVMonXP.exe进程,如果找到avp.exe后休眠2000ms后判断自身文件进程是否是临时目录下的TW9454.tmp路径文件,如不是则将自身移动到临时目录下并命名为TW9454.tmp,之后退出

3、如果找到KVMonXP.exe进程后试图拷贝%System32%目录下的lpk.dll命名为syslpk.dll后将病毒自身替换为lpk.dll文件(未成功失败),伪装成系统DLL文件来躲避安全软件的查杀,如果2个进程都找不到则衍生病毒DLL文件直接到临时目录下命名为wfsjowfdsaw.dll,并动态加载该病毒DLL文件,通过病毒DLL文件安装消息钩子截取游戏账号密码,试图将病毒DLL文件注入到所有进程中

网络行为:
将截取到的游戏账户信息以ULR方式通过以下参数回传到作者地址中
/2postmb.asp?action=ok&u=&p=&9c=&mbh=&s=&dj=&jb&js=

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL进程管理查找smss.exe、csrss.exe、winlogon.exe进程除外的所有进程模块中的wfsjowfdsaw.dll病毒文件,将其卸载掉。
(2) 删除病毒文件
%Temp%\wfsjowfdsaw.dll(找到avp.exe、KVMonXP.exe进程则不衍生)
%Temp%\TW9454.tmp
页: [1]
查看完整版本: Trojan/Win32.Agent.dczu[Stealer]分析