一、 病毒标签:
病毒名称: Trojan/Win32.OnLineGames.uuhu[GameThief]
病毒类型: 木马
文件 MD5: E164B4711EE7A77406A010E519ECB7E0
公开范围: 完全公开
危害等级: 3
文件长度: 15,136 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
二、 病毒描述:
该病毒为盗取网络游戏dnf游戏账号的木马,病毒运行后检测%System32%目录下是否存在*.dll文件,如果存在更改其文件名;复制系统文件sfc_os.dll,加载sfc_os.dll文件副本并调用其中相关函数禁用系统文件保护;移动系统文件comres.dll,尝试在系统目录和字体目录下分别衍生病毒文件comres.dll,在系统字体目录下衍生病毒文件gth60328.ttf;遍历进程列表查找巨人游戏客户端进程“dnf.exe”,并将之关闭。调用comres.dll文件中的ins函数删除原始病毒文件。病毒不会对注册表进行操作,病毒通过替换系统文件comres.dll的方式来实现随机启动,被替换的comres.dll文件被加载后将截获用户信息调用gth60328.ttf文件将信息回传给病毒作者。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\ComRes.dll 11,264 字节
%Windir%\fonts\gth60328.ttf 25,088 字节
%Windir%\fonts\gth60328.fon 1,312 字节
%Windir%\fonts\ComRes.dll 11,264 字节
2、拷贝系统文件
%System32%\sfc_os.dll 拷贝到 %System32%\mmsfc1.dll
%System32%\rundll32.exe 拷贝到 %System32%\gth60328.exe
3、移动系统文件
%System32%\ComRes.dll 移动到 %System32%\sysgth.dll
4、调用mmsfc1.dll文件中的5号导出函数(SetSfcFileException)禁用系统文件保护功能。
网络行为:
1、 回传数据的参数有如下:
?do=send&game=60&inputsource=%s&%ver=328&zone=%s&server=%s&name=%s&pass=%s&passtwo=%s&role=%s&lord=%s&level=%s&money=%u&goldcoin=%u&yb=%u&equipment=%s&bag=%s&mb=%d&mbtime=%d&hardware=%s&key=%s&store=%s
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用atool中的“文件管理”强制删除病毒文件
%System32%\ComRes.dll
(2) 重启系统后删除病毒文件
%Windir%\fonts\gth60328.ttf
%Windir%\fonts\gth60328.fon
%Windir%\fonts\ComRes.dll
%System32%\mmsfc1.dll
%System32%\gth60328.exe
%System32%\sysgth.dll |
|