Trojan/Win32.OnLineGames.vugj[GameThief]分析

一、 病毒标签：
病毒名称： Trojan/Win32.OnLineGames.vugj[GameThief]
病毒类型： 木马
文件 MD5： 9CD5AA5BF091F79428EAF466EE63ED5C
公开范围： 完全公开
危害等级： 3
文件长度： 182,832 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： VMProtect

二、病毒描述：
该恶意代码文件为雅虎奇摩盗号木马类，该木马程序采用了加密处理，目的为了躲避安全软件对其查杀，病毒运行后创建批处理文件到病毒原文件所在目录下，来修改系统时间将系统时间设置为2004年，等待15000MS后再次创建批处理将系统时间设置回当前正确的系统时间，目的为了使安全软件过期失效从而对其无法主动监控查杀15000MS后病毒文件足以创建完毕，创建病毒DLL并拷贝病毒自身文件到Windir\Help目录下，并将属性设置为隐藏，试图将病毒DLL文件注入到所有进程中，病毒文件创建完后，释放批处理文件用于删除病毒原文件体，遍历“yahoobuddymain”窗口，利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号等信息，并在后台将窃得的信息发送到作者指定的收信地址。

三、行为分析：
本地行为:
1、文件运行后会释放以下文件
Windir\Help\F3C74E3FA248.dll
Windir\Help\F3C74E3FA248.exe
                       
2、新增注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32\@
值: 字符串: "C:\WINDOWS\HELP\F3C74E3FA248.dll"
描述：添加病毒注册表CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1DBD6574-D6D0-4782-94C3-69619E719765}
值: 字符串: ""
描述：添加病毒HOOK启动项

3、木马程序采用了加密处理，目的为了躲避安全软件对其查杀，病毒运行后创建批处理文件2.bat到病毒原文件所在目录下，来修改系统时间将系统时间设置为2004年代码为：
[][]][[e][][][][]
date 2004-11-2
777777777777777777
del %0
等待15000MS后再次创建批处理文件2.bat将系统时间设置回当前正确的系统时间代码为：
-99999999999rwe;b
date 2009-11-2
rgsdfgsdfggegergerg
del %0
目的为了使安全软件过期失效从而对其无法主动监控查杀。

4、试图将病毒DLL文件注入到所有进程中，病毒文件创建完后，释放批处理文件用于删除病毒原文件体，遍历“yahoobuddymain”窗口，利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号等信息。

网络行为:
将截取到账户信息以ULR方式发送到作者地址中
http://www.163.com/mail/upfilesg.asp

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%  = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录

四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1)使用ATOOL管理工具，进程管理卸载被注入的病毒模块F3C74E3FA248.dll
(2) 删除病毒文件
Windir\Help\F3C74E3FA248.dll
Windir\Help\F3C74E3FA248.exe
(3) 删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32\@
值: 字符串: "C:\WINDOWS\HELP\F3C74E3FA248.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1DBD6574-D6D0-4782-94C3-69619E719765}
值: 字符串: ""