Trojan/Win32.Vilsel.ogc[GameThief]分析

一、 病毒标签：
病毒名称： Trojan/Win32.Vilsel.ogc[GameThief]
病毒类型： 木马
文件 MD5： 991798CE5EC495C51CA8946E8D3BA060
公开范围： 完全公开
危害等级： 4
文件长度： 13,948 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： Upack

二、 病毒描述：
该恶意代码文件为梦幻诛仙游戏盗号木马，病毒运行之后在%System32%\drivers目录下创建bmtpws31.dat文件并将病毒作者回传地址及账户信息存放在该文件中，一旦截取到游戏账号和密码则读取该文件中的地址以URL或邮件方式上传到作者指定的地址中，衍生kb****.dll（*号为随机数字）和wsconfig.db文件到%System32%目录下，删除临时目录下的~t12.tmp和~23.tmp文件，拷贝系统imm32.dll文件到临时目录下命名为~t12.tmp并在文件尾部添加一个节名为.ss32，并向该节写入850字节数据修改文件的入口点，拷贝%System32%目录下的imm32.dll改名为imm32.dll.bak，先动态加载一下imm32.dll然后再释放，动态加载sfc_os.dll系统文件，调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护，然后将修改过的imm32.dll拷贝到%System32%目录下替换系统的imm32.dll文件，以达到加载imm32.dll文件来执行病毒代码的目的，遍历进程查找gameclient.exe进程找到之后强行结束该进程，释放BAT批处理文件删除病毒自身文件，将病毒DLL文件注入到conime.exe进程中，病毒DLL文件被注入后创建互斥量M_1484_-1，创建2个线程对比游戏内存16字节数据是否匹配（E621582CC93BB589D16F67488F61D582），如果匹配到，则再次对游戏进程的模块进行对比139字节数据并将匹配后的模块地址保存起来，以上条件成立后则获取当前窗口的坐标并截取下当前窗口作为.\tmpimg.bmp保存到病毒所在目录下以获取密保之类的信息，读取游戏目录下的.\wtf\serveraddr.ini配置文件获取游戏账号所在服务器相关信息，通过内存定位截取游戏账号密码将截取到得账号密码及图片以URL或email方式发送到作者指定的地址中。

三、 行为分析：
本地行为:
1、文件运行后会释放以下文件
%System32%\drivers\bmtpws31.dat    （读取该文件获取发送地址和发送方式）
%System32%\wsconfig.db            （病毒文件的存放路径）
%System32%\imm32.dll             （病毒修改后的系统库文件用于启动病毒文件）
%System32%\kb****.dll             （病毒原文件）

2、删除临时目录下的~t12.tmp和~23.tmp文件，拷贝系统imm32.dll文件到临时目录下命名为~t12.tmp并在文件尾部添加一个节名为.ss32向该节写入850字节数据修改文件的入口点，拷贝%System32%目录下的imm32.dll为imm32.dll.bak，先动态加载一下imm32.dll然后再释放，动态加载sfc_os.dll系统文件，调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护

3、修改过的imm32.dll拷贝到%System32%目录下替换系统的imm32.dll文件，以达到加载imm32.dll文件先执行病毒代码的目的，遍历进程查找gameclient.exe进程找到之后强行结束该进程，释放BAT批处理文件删除病毒自身文件，将病毒DLL文件注入到conime.exe进程中，病毒DLL文件被注入后创建互斥量M_1484_-1，创建2个线程对比游戏内存16字节数据是否匹配（E621582CC93BB589D16F67488F61D582），如果匹配到，则再次对游戏进程的模块对比139字节数据：
6A 5C 6A 00 53 E8 00 00 C1 E6 04 03 75 E4 00 00 5C 1B 93 AA EE 6D AA 56 87 36 D5 3B FB EA 23 DC 8B 8E AC 00 00 00 50 C6 44 24 64 02 E8 00 00 00 8B 48 1C 8B 41 08 C3 90 8B 86 64 01 00 00 8D 4C 24 0C 00 00 FF 52 30 50 6A 00 8B CE 8B 78 0C B9 50 00 00 00 8D 0C 9B 8B 7C 24 1C 00 E8 9B 8E 3A 47 72 E0 65 FB C6 EE 71 67 55 85 70 54 8E 51 FA 67 D5 41 38 4E 95 85 AD F0 DB 95 DC B8 82 F5 17 94 BE FB 4D 8C 13 6C E9 B5 E2 D6 E7
匹配上之后并将匹配后的模块地址保存起来，以上条件成立后则获取当前窗口的坐标并截取下当前窗口作为.\tmpimg.bmp图片保存到病毒所在目录下以获取密保之类的信息，读取游戏目录下的.\wtf\serveraddr.ini配置文件获取游戏账号所在服务器相关信息

网络行为:
1、将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中
[0]
0=http://denglu.foxyeye****.com:8085/lin.asp
1=hankemail
2=hankeimg
3=7219
[1]
0=http://denglu.foxyeye****.com:8085/lin.asp
1=hankemail
2=hankeimg
3=7219

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%  = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录


四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用atool中的文件管理删除病毒文件
%System32%\drivers\bmtpws31.dat   
%System32%\wsconfig.db            
%System32%\imm32.dll           
%System32%\kb****.dll
将%System32%\ 目录下的imm32.dll.bak替换为imm32.dll