一、 病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.alsf
病毒类型: 盗号木马
文件 MD5: 2087197E0474B9BC5365B76F88E4EE86
公开范围: 完全公开
危害等级: 4
文件长度: 24,420 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
二、 病毒描述:
该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,衍生病毒文件到系统目录%system32%下;重命名为update.exe(随机病毒名);并加载创建该病毒进程,
遍历进程查找是否存在一下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,
病毒运行后自我删除,创建注册表病毒服务,映像劫持多款安全软件及调试工具,使系统安全性大大降低,连接网络读取列表下载大量恶意文件到本地运行,
经分析下载的文件多为盗号木马,给用户清理带来及大的不便!
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%Windir%\update.exe 17,353 字节
2、创建注册表病毒服务
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VSPQNK\0000\Service]
注册表值: "vspqnk"
类型: REG_SZ
值:"Vspqnk"
描述: 服务描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vspqnk\Description]
注册表值: "DisplayName"
类型: REG_SZ
值:"Vspqnk"
描述: 服务描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vspqnk\DisplayName]
注册表值: "DisplayName"
类型: REG_SZ
值:" Vspqnk"
描述: 服务名称
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vspqnk\ErrorControl]
注册表值: "ErrorControl"
类型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服务控制
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vspqnk\ImagePath]
注册表值: "ImagePath"
类型: REG_SZ
值:"\??\C:\WINDOWS\system32\vspqnk"
描述: 服务映像文件的启动路径
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vspqnk\Start]
注册表值: "Start"
类型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服务的启动方式,手动
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vspqnk\Type]
注册表值: "Type"
类型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服务类型
3、映像劫持多款安全软件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被映像劫持的文件名称]
新建键值: "Debugger"
类型: REG_SZ
字符串: “ntsd -d”
劫持文件名列表:
360rpt.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、avconsol.exe、
avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、
HijackThis.exe、IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、KaScrScn.SCR、KASMain.exe、
KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、
KISLnchr.exe、kissvc.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、kpfwsvc.exe、、KPPMain.exe、KRegEx.exe、KRepair.com、
KsLoader.exe、KVCenter.kxp、KvDetect.exe、KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、
mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、nod32krn.exe、、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、
procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、RAVmonD.exe、ravstub.exe、
ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、FYFireWall.exe、、rfwproxy.exe、FYFireWall.exe、
rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、
SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、、TrojDie.kxp、、UIHost.exe、UIHost.exe、
UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、WinDbg.exe、
WoptiClean.exe、OllyDBG.EXE、OllyICE.EXE
4、遍历进程查找是否存在一下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程
网络行为:
协议:TCP
端口:80
连接服务器名:http://txt.sonu****.info/tt/1.txt
IP地址:121.10.104.**
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
[DOWN]
1=http://xxx.dfasd****.cn/cao/aa1.exe
2=http://xxx.dfasd****.cn/cao/aa2.exe
3=http://xxx.dfasd****.cn/cao/aa3.exe
4=http://5.gexi****.info/cao/aa4.exe
5=http://5.gexi****.info/cao/aa5.exe
6=http://5.gexi****.info/cao/aa6.exe
7=http://5.gexi****.info/cao/aa7.exe
8=http://xxx.dfasd****.cn/cao/aa8.exe
9=http://xxx.dfasd****.cn/cao/aa9.exe
10=http://111.dfasd****.cn/cao/aa10.exe
11=http://111.dfasd****.cn/cao/aa11.exe
12=http://111.dfasd****.cn/cao/aa12.exe
13=http://111.dfasd****.cn/cao/aa13.exe
14=http://111.dfasd****.cn/cao/aa14.exe
15=http://222.dfasd****.cn/cao/aa15.exe
16=http://222.dfasd****.cn/cao/aa16.exe
17=http://222.dfasd****.cn/cao/aa17.exe
18=http://222.dfasd****.cn/cao/aa18.exe
19=http://222.dfasd****.cn/cao/aa19.exe
20=http://333.dfasd****.cn/cao/aa20.exe
21=http://333.dfasd****.cn/cao/aa21.exe
22=http://333.dfasd****.cn/cao/aa22.exe
23=http://333.dfasd****.cn/cao/aa23.exe
24=http://444.dfasd****.cn/cao/aa24.exe
25=http://xxx.dfasd****.cn/cao/aa25.exe
26=http://xxx.dfasd****.cn/cao/aa26.exe
27=http://xxx.dfasd****.cn/cao/aa27.exe
28=http://xxx.dfasd****.cn/cao/aa28.exe
29=http://xxx.dfasd****.cn/cao/aa29.exe
30=http://444.dfasd****.cn/cao/aa111.exe
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”关闭病毒相关进程
结束Explorer.exe进程
(2) 强行删除病毒文件
%Windir%\update.exe
(3)删除病毒服务注册表及映像劫持项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MHFP\0000\Service]
键值:"vspqnk"
删除vspqnk键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
键值:"vspqnk"
删除vspqnk键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
键值:"Image File Execution Options"
删除注册表Image File Execution Options键值
[ 本帖最后由 flyleaf 于 2008-6-25 16:14 编辑 ] |
发表于 2008-6-5 09:07
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡