木马PSW.Win32.OnLineGames.dqk分析

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

  病毒标签

  病毒名称: Trojan-PSW.Win32.OnLineGames.dqk

  中文名称: 问道盗窃者

  病毒类型: 后门类

  文件MD5: BC4611A88CA03B43F8EC04C116148911

  公开范围: 完全公开

  危害等级: 4

  文件长度: 脱壳前11,429 字节,脱壳后45,056 字节

  感染系统: Win98以上版本

  开发工具: Microsoft Visual C++ 6.0

  加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

  病毒描述

  该病毒运行后,衍生病毒副本到系统目录下,添加注册表Hook项,以挂载病毒体启动。该病毒为一款针对网络游戏《问道》的木马程序,Hook游戏进程asktao.mod进程截获用户名及密码,读取游戏配置文件config.ini获取账户信息发送出去。

  行为分析

  本地行为:

  1、文件运行后会衍生副本

     %System32%\wddoor0.dll       14,848 字节

  2、新增注册表

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Explorer\ShellExecuteHooks\
  键值:{68F7767A-090C-4BBF-A015-720ACC6706E2}
  字符串: "hook wd"
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
  \{68F7767A-090C-4BBF-A015-720ACC6706E2}\InprocServer32\
  键值:@
  字符串:"C:\WINDOWS\System32\wddoor0.dll"

  3、读取账号参数

      Goup
  Zone

  4、结束安全软件进程:

      FilMsg.exe
  Twister.exe
  RavMon.exe

  : %System32% 是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

      %Windir%             WINDODWS所在目录
  %DriveLetter%          逻辑驱动器根目录
  %ProgramFiles%          系统程序默认安装目录
  %HomeDrive%           当前启动的系统的所在分区
  %Documents and Settings%    当前用户文档根目录
  %Temp%     \Documents and Settings\当前用户\Local Settings\Temp
  %System32%           系统的 System32文件夹
  Windows2000/NT中默认的安装路径是C:\Winnt\System32
  windows95/98/me中默认的安装路径是C:\Windows\System
  windowsXP中默认的安装路径是C:\Windows\System32

  清除方案

  1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

  2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

  (1)使用安天木马防线“进程管理”关闭病毒进程项目:

  explorer.exe。

  (2)删除病毒文件:

  %System32%\wddoor0.dll

  (3)删除病毒添加的注册表项:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Explorer\ShellExecuteHooks\
  键值:{68F7767A-090C-4BBF-A015-720ACC6706E2}
  字符串: "hook wd"
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
  \{68F7767A-090C-4BBF-A015-720ACC6706E2}\InprocServer32\
  键值:@
  字符串:"%WinDir%\System32\wddoor0.dll

标签: 安全 网络 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:木马伪装金山网镖 毒霸用户警惕上当

下一篇:木马Clicker.Win32.Agent.av样本分析