一、 病毒标签:
病毒名称: Trojan-GameThief.Win32.Magania.agzu
病毒类型: 盗号木马
文件 MD5:6B4BC1698FC61C4D7282E4E622806A9A
公开范围: 完全公开
危害等级: 4
文件长度: 19,369 字节
感染系统: Windows98以上版本
开发工具: Upack V0.37 -> Dwing *
二、 病毒描述:
该病毒为魔域游戏盗号木马,病毒运行后,枚举进程获取进程快照、遍历查找my.exe、soul.exe等多款网游客户端进程,找到进程则强行结束该进程,查找类名为“AskTao”(问道游戏)的窗体,找到该窗体后向该窗体发送相应消息,打开\\.\slHBKernel32驱动设备创建HBKernel32.sys到%System32%目录下,创建病毒服务,添加注册表启动项,衍生病毒DLL文件“HBSOUL.dll、system.exe”到%System32%目录下,试图将病毒DLL文件注入到所有进程,创建病毒互斥量名为:"HBInjectMutex",防止病毒多次运行,创建system.exe病毒进程,衍生HBSelfDel.dll到系统临时文件夹目录下,使用"rundll32.exe %s,MagicDelete %s"命令启动病毒DLL文件,加载完毕后删除临时文件夹下的病毒文件,病毒运行完毕后删除自身,通过内存截取游戏帐户信息,发送到指定的地址中。
三、 行为分析:
本地行为:
1、枚举进程获取进程快照、遍历查找my.exe等多款网游客户端进程,遍历以下游戏进程找到进程则强行结束包含得以下进程:
woool.dat、woool88.dat、xy2.exe、game.exe、SO2Game.exe、SO2GameFree.exe、FSOnline2.exe、gameclient.exe、elementclient.exe、asktao.mod、Wow.exe、ZeroOnline.exe、Bo.exe、Conquer.exe、soul.exe、TheWarlords.exe、china_login.mpr、blueskyclient_r.exe、xy3.exe、QQLogin.exe、DNF.exe、gc12.exe、hugemanclient.exe、HX2Game.exe、QQhxgame.exe、tw2.exe、QQSG.exe、QQFFO.exe、zhengtu.dat、mir1.dat、mir2.dat、Client.exe
2、调用函数FindWindowA查找类名为“AskTao”(问道游戏)的窗体,找到该窗体后通过函数PostMessageA参数Message = WM_SIZEWAIT向该窗体发送相应消息
3、文件运行后会释放以下文件
%System32%\drivers\HBKernel32.sys
%System32%\HBSOUL.dll
%System32%\System.exe
4、修改、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
新: 字符串: "HBSOUL.dll"
旧: 字符串: ""
描述:添加AppInit_DLLs启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HBService32
值: 字符串: "System.exe"
描述:添加开机启动项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32\DisplayName
值: 字符串: "HBKernel32 Driver"
描述:病毒服务名
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32\ImagePath
值: 字符串: "system32\drivers\HBKernel32.sys.
描述:病毒服务映像启动得的文件路径
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32\Start
值: DWORD: 0 (0)
描述:病毒服务启动方式
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32\Type
值: DWORD: 1 (0x1)
描述:服务类型
5、衍生HBSelfDel.dll到系统临时文件夹目录下,调用API函数OpenMutexA参数MutexName = "HBInjectMutex"创建病毒互斥量名为:"HBInjectMutex",防止病毒多次运行,使用"rundll32.exe %s,MagicDelete %s"命令,%s变量为启动病毒HBSelfDel.dll变量名,,MagicDelete %s为加载完毕后删除的病毒文件命令
网络行为:
协议:TCP
端口:80
连接地址:http://888812****.com/www/post.asp
描述:调用RtlZeroMemory通过内存截取游戏帐户信息,发送到指定的地址中
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)先打开Atool工具强行删除以下病毒文件
%System32%\drivers\HBKernel32.sys
%System32%\HBSOUL.dll
%System32%\System.exe
(3)删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
新: 字符串: "HBSOUL.dll"
旧: 字符串: "
删除AppInit_DLLs键下的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Run键下的HBService32主键值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
删除CLSID键下的{06717D20-4FAA-48E1-B4BA-E8F80DAF1F06}键值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
删除Services键下的HBKernel32主键值 |