Trojan/Win32.Vedio.dgs[Dropper]分析

一、 病毒标签：
病毒名称： Trojan/Win32.Vedio.dgs[Dropper]
病毒类型： 盗号木马
文件 MD5： CB391C049A7B0C4F27033E212A9E54AC
公开范围： 完全公开
危害等级： 3
文件长度： 25,600 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： PeStubOEP

二、 病毒描述：
    该恶意代码文件为天龙八部游戏盗号木马，这个病毒文件会判断系统是否安装了天龙八部游戏，如果安装的话就会衍生病毒DLL文件到游戏目录下，这个病毒文件会感染系统下的d3d8thk.dll，当用户运行游戏的时候会加载该系统库文件，该系统库文件被加载之后则会加载病毒衍生的DLL文件，病毒文件通过键盘消息钩子方式截取用户的账号和密码，并将截取的所有敏感信息发送到病毒作者指定的地址中。

三、 行为分析：
本地行为:
1、衍生文件到以下目录：
%System32%\dllcache\d3d8thk.dll
%System32%\d3d8thk.dll
%Documents and Settings%\当前所在用户\Local Settings\Temp\kb269528.sve （随机病毒名）
%Program Files%\Common Files\System\kb269528.srd                （随机病毒名）

2、病毒运行后动态获取API函数，将自身进程权限提升为SeDebugPrivilege，遍历注册表查找"Launch.exe"、"Game.exe"进程，病毒对CreateToolhelp32Snapshot、Process32First、Process32Next这3个函数调用做了处理，每个函数调用地址减1，使分析人员分析时看不到API函数名，隐藏API名代码实现：
int i=0;
HMODULE hmodule;       
char *apinames[3]={"CreateToolhelp32Snapshot","Process32First","Process32Next"};
DWORD apiress[3]={0};
LPCTSTR lpFileName="Kernel32.dll";
hmodule=LoadLibraryA(lpFileName);
for(i=0;i<3;i++)
{
apiress=(DWORD)GetProcAddress(hmodule,apinames)-1;
}
找到Launch.exe、Game.exe进程后调用TerminateProcess函数结束该进程。

3、获取系统当前时间产生随机数，查找并LOAD资源名为76类型为mscro的资源，在临时目录下创建一个随机8位字母数字病毒名kb247841.sve文件，枚举注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache记录临时运行软件缓存项下是否含有\Bin\InstallHelp.exe键值，通过这个键值获取游戏的全路径，判断游戏目录下是否有dbghelp.bet文件，找到之后删除，试图将kb247841.sve病毒文件拷贝到游戏目录下，并将属性设置为隐藏，判断C:\Program Files\Common Files\System这个目录下是否存在，不存在就创建一个，并将kb247841.sve病毒文件拷贝到这个目录下属性设置为隐藏，动态加载临时目录下的kb247841.sve病毒文件获取并调用病毒DLL的LoadDll模块。

4、判断%System32%与%System32%\dllcache目录下是否有d3d8thk.dll文件，找到之后拷贝一份命名为d3d8thk.dll.dat对该文件进行修改，遍历该文件节表判断是否存在.text6、.text8个节，如果没有就在文件尾部添加一个节名为.text8写入2048字节病毒数据，修改文件OEP指向病毒代码，被修改的这个系统文件的病毒代码作用是用来加载kb247841.sve这个病毒DLL文件的，将正常的d3d8thk.dll文件备份为d3d8thk.dll.YJRU（4位随机后缀名），将病毒感染后的d3d8thk.dll.dat命名为d3d8thk.dll，最后释放批处理删除自身。

5、病毒DLL文件加载之后首选判断自身是否是ctfmon.exe、Game.exe、QQLogin.exe、DNF.exe如果不是就退出，病毒会创建线程设置键盘消息钩子，来截取用户输入的游戏账号及密码，病毒试图利用非法手段截取游戏的密保为*.jpg图片方式保存然后利用URL方式发送提交到病毒作者地址中。

网络行为:
将获取的游戏账户及密码以下URL回传提交到病毒作者地址：
http://tl.lkdiwldm****.com:802/tianlong/post.asp
http://tla.lkdiwldm****.com:12589/tianlong/post.asp

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是%WINDOWS%\System
　　　　windowsXP中默认的安装路径是%system32%　　　


四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1）使用ATOOL管理工具，“进程管理“结束天龙八部游戏进程
（2）强行删除病毒文件
%System32%\dllcache\d3d8thk.dll
%System32%\d3d8thk.dll
%Documents and Settings%\当前所在用户\Local Settings\Temp\kb269528.sve
%Program Files%\Common Files\System\kb269528.srd
将%System32%\dllcache\目录下的d3d8thk.dll.MYDF改名为d3d8thk.dll
将%System32%\目录下的d3d8thk.dll.MYDF改名为d3d8thk.dll