Trojan/Win32.OnLineGames.ubga[stealer]分析

一、病毒标签：
病毒名称： Trojan/Win32.OnLineGames.ubga[stealer]
病毒类型： 木马
文件 MD5： 0C17E03F41289E47EEB5D0F3F1F48C9C
公开范围： 完全公开
危害等级： 4
文件长度： 22,031 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： Upack V0.37 -> Dwing [Overlay] *
       
二、病毒描述：
       
该病毒为地下城与勇士游戏盗号木马，病毒运行后，衍生随机病毒名DLL文件到%system32%目录下，添加注册表、HOOK启动项、释放批处理BAT文件，用于删除自身、试图将病毒DLL注入到所有进程中。
病毒DLL分析:查找QQLogin.exe、DNF.exe，如找到则创建线程，查找类名"Progman"，找到之后设置键盘鼠标钩子、向该窗口发送消息、安装消息钩子，查找HBInject32窗口并发送WM_COPYDATA消息、通过消息钩子截取游戏账号及密码，通过URL方式发送到病毒作者指定的URL中。
       
三、行为分析：
       
本地行为：
1、衍生病毒文件到以下目录
%system32%\24C7CC8E.dll   (随机病毒名)

2、添加注册表、HOOK启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\24C7CC8E
值: 字符串: "{24C7CC8E-0AF7-4AE6-A685-6A03ADA4F71B}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24C7CC8E-0AF7-4AE6-A685-6A03ADA4F71B}\InProcServer32\@
值: 字符串: "C:\WINDOWS\system32\24C7CC8E.dll"

3、查找QQLogin.exe、DNF.exe，如找到则创建线程，查找类名"Progman"，找到之后设置键盘鼠标钩子、向该窗口发送消息、安装消息钩子，查找HBInject32窗口并发送WM_COPYDATA消息、通过消息钩子截取游戏账号及密码

网络行为：
        协议：TCP
端口：80
连接地址：http://dnf-1.****.org/6f/leyi13/post.asp
描述：通过URL方式发送到病毒作者指定的URL中

注释：
%Windir%                                           WINDODWS所在目录
%DriveLetter%                                逻辑驱动器根目录
%ProgramFiles%                                系统程序默认安装目录
%HomeDrive%                                  当前启动系统所在分区
%Documents and Settings%        当前用户文档根目录
%Temp%                                                当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%                                        是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是C:\Windows\System；
WindowsXP中默认的安装路径是C:\Windows\System32。
       
四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”查找系统进程模块找到病毒模块24C7CC8E.dll(随机病毒名)，将其卸载掉
(2) 强行删除病毒文件
%system32%\24C7CC8E.dll   (随机病毒名)
(3) 删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\24C7CC8E
删除ShellServiceObjectDelayLoad 键下的24C7CC8E（随机键值）键值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24C7CC8E-0AF7-4AE6-A685-6A03ADA4F71B}\InProcServer32\@
值: 字符串: "C:\WINDOWS\system32\24C7CC8E.dll"
删除InProcServer32键下的@键值