Trojan/Win32.Agent.gc [Banker]分析

一、 病毒标签：
病毒名称： Trojan/Win32.Agent.gc [Banker]
病毒类型： 蠕虫
文件 MD5： 45A96E447332E6DC1A3A73D6C93C7FC4
公开范围： 完全公开
危害等级： 4
文件长度： 14,477 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： FSG 2.0 -> bart/xt
二、 病毒描述：
该病毒为问道游戏盗号木马，病毒运行后，遍历进程查找“safeboxtray.exe”、“360tray.exe”进程，如果找到则调用API函数强行结束进程，达到躲避360安全卫士追杀，释放zywendao.dat、zywendao.dat、wd1231.dll文件到%System32%目录下，设置文件属性为隐藏，添加注册表启动项、,查找类名为"AskTao"的窗体,找到之后向该窗体发送WM_QUIT退出消息,使用Rundll32.exe启动病毒文件wd1231.dll病毒文件,试图将病毒DLL文件注入到所有进程中，病毒运行完毕后将自身属性设置为隐藏。
wd1231.dll病毒文件分析:获取当前句柄、比较是否注入在explorer.exe进程中，如是则创一个"renaima"事件信号量，创建线程遍历进程查找safeboxtray.exe、360tray.exe进程找到强行结束进程，判断自身是否注入到asktao.mod进程中，如果是则获取主机名字检测网络是否通畅，获取当前窗体的名字，查找窗体是否含有“问道”标题，找到之后获取当前窗体按钮卷轴的坐标位置，比较当前游戏账户所在区，安装消息钩子、通过URL向病毒作者地址提交账户密码及游及游戏账户详细信息
三、 行为分析：
本地行为:
1、遍历进程查找“safeboxtray.exe”、“360tray.exe”进程，如果找到则调用API函数强行结束进程，达到躲避360安全卫士追杀，查找类名为"AskTao"的窗体,找到之后向该窗体发送WM_QUIT退出消息,使用Rundll32.exe启动病毒文件wd1231.dll病毒文件, 试图将病毒DLL文件注入到所有进程中，病毒运行完毕后将自身属性设置为隐藏。
2、文件运行后会释放以下文件
%System32%\zywendao.dat
%System32%\zywendao2.dat
%System32%\wd1231.dll
3、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Startwd
值: 字符串: "rundll32.exe C:\WINDOWS\system32\wd1231.dll,Hook"
描述：添加注册表启动项
4、wd1231.dll病毒文件分析:获取当前句柄、比较是否注入在explorer.exe进程中，如是则创一个"renaima"事件信号量，创建线程遍历进程查找safeboxtray.exe、360tray.exe进程找到调用TerminateProcess函数强行结束进程
5、判断自身是否注入到asktao.mod进程中，如果是则获取主机名字检测网络是否通畅，获取当前窗体的名字，查找窗体是否含有“问道”标题，找到之后获取当前窗体按钮卷轴的坐标位置，比较当前游戏账户是否包含以下区（根据游戏账户所在不同区域信息分别向病毒作者地址中发送不同的数据）：
鼓浪屿、橘子洲头、乐山大佛、钱塘观潮、香格里拉、武当雄风、蜀南竹海、金顶佛光、倚天屠龙、黄埔风云、奇门遁甲、黄果树、巍巍太行、巴渝山城、华山论剑、豫园佳境、百里秦川、珠海明珠、钟山风雨、岭南风情、云海苍穹、飞天逐月、平湖秋月、电信一区、金戈铁马、雄霸天下、世外桃源、纵横天下、岳阳楼、蓬莱仙境、黄鹤楼、虎踞龙盘、江山万里、卧虎藏龙、天府情缘、三阳开泰、花好月圆、桃园结义、群星聚会、太极幻境、天地雄心、乾坤无极、柔情侠骨、黄山云雾、电信二区、西湖映月、水月洞天、碧波瑶池、瑞雪丰年、君临天下、天时地利、金玉满堂、碧血情天、海阔天空、富甲天下、春意盎然、文韬武略、千秋霸业、凌霄宝殿、吉祥如意、内测专区、众志成城、虎啸龙吟、飞雪连天、千里婵娟、电信三区、紫禁之颠、水泊梁山、林海雪原、物华天宝、火树银花、海河之滨、龙腾渤海、北京古都、御剑飞仙、风雨征途、逐鹿中原、避暑山庄、雪山飞狐、铁血丹心、长白天池、龙盘泰山、笑傲江湖、万里长城、牡丹花城、天山明月、网通一区、风云际会、仙侣情缘、剑荡九州、清风明月、泰山北斗、风花雪月、仗剑长歌、寻仙问道、春花秋月、名动天下、举世无双、落雪缤纷、皓月千里、地久天长、炎黄盛世、阳春白雪、龙腾盛世、秋水长天、网通二区
网络行为:
协议：TCP
端口：80
描述：根据游戏账户所在不同区域信息分别向病毒作者地址中发送不同的数据
POST basicinfo.aspx?Area=&Server=&Username=&Yuanbao=0&Role=&Rank=0&Cash=0&Account=0
POST qiankunsuo.aspx?username=
POST mibao.aspx?username=&first=mibao.aspx?username=&third=&second=
get kick.aspx?username=get
     get quit.aspx?username=bank.aspx?username=yuanbao.aspx?username=
POST bank.aspx?username=yuanbao.aspx?username=
POST yuanbao.aspx?username=
注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是%WINDOWS%\System
　　　　windowsXP中默认的安装路径是%system32%　　　

四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1）使用ATOOL管理工具，“进程管理“结束进程中包含wd1231.dll的病毒模块，找到后将其强行卸载
（2） 强行删除病毒下载的大量病毒文件
%System32%\zywendao.dat
%System32%\zywendao2.dat
%System32%\wd1231.dll
（3）删除病毒添加的注册表启动项及劫持的安全软件项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Startwd
删除Run键下的Startwd主键值