木马PSW.Win32.OnLineGames.dxf分析

病毒标签：

　　病毒名称： Trojan-PSW.Win32.OnLineGames.dxf

　　中文名称： 游戏大盗

　　病毒类型： 木马类

　　文件MD5： 53524DF08966CB17A07A4226F2624E7C

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 脱壳前45,666 字节，脱壳后147,456 字节

　　感染系统： Windows9x以上版本

　　开发工具： Borland Delphi 6.0 - 7.0

　　加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

　　病毒描述：

　　该病毒运行后，衍生病毒副本到程序目录下，添加注册表hook项以引导病毒体。设置钩子函数劫获相关进程消息，发送到病毒作者指定页面，以盗取用户游戏账号信息。由于病毒只是简单的套用一个模式获取游戏信息，所以并不是对每一款游戏都有效。

　　行为分析：

　　本地行为：

　　1、文件运行后会衍生副本：

    %Program Files%\Common Files\Microsoft Shared\MSINFO\SysInfo1.dll

　　2、新增注册表：

     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}\InProcServer32\@
　　Value: String: "C:\Program Files\Common Files
　　\Microsoft Shared\MSINFO\SysInfo1.dll"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
　　\InProcServer32\ThreadingModel
　　Value: String: "Apartment"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Explorer\ShellExecuteHooks
　　\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
　　Value: String: """

　　3、主要hook下列进程，劫获敏感信息发送到指定页面：

      elementclient.exe 　　　　《完美世界》
　　asktao.mod 　　　　　　　 《问道》
　　bo.exe 　　　　　　　　　 《刀剑OL》
　　woool.dat 　　　　　　　　《传奇世界》
　　main.exe 　　　　　　　　 《奇迹》
　　kartrider.exe 　　　　　　《跑跑卡丁车》
　　audition.exe 　　　　　　 《劲舞团》
　　_autopatch.exe 　　　　　 《魔域》
　　ca.exe 　　　　　　　　　 《泡泡堂》
　　soul.exe 　　　　　　　　 《魔域》
　　freestyle.exe 　　　　　　《街头篮球》
　　mir3.exe 　　　　　　　　 《传奇3》
　　cq.exe 　　　　　　　　　 《春秋Q传》
　　tianji.dat 　　　　　　　 《天机OL》
　　game.exe 　　　　　　　　 《水浒Q传》
　　ogremain.dll 　　　　　　 《天下图霸2》
　　zeroonline.exe 　　　　　 《机战ZeroOnline》
　　gameclient.exe 　　　　　 《浩方对战平台》
　　cabalmain.exe 　　　　　　《惊天动地》
　　qqgame.exe 　　　　　　　 《QQ游戏平台》
　　igame.exe 　　　　　　　　《中国游戏中心》
　　lobbyshell.exe 　　　　　 《新浪游戏大厅》

　　注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录

　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录

　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录

　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区

　　%Documents and Settings% 　　　当前用户文档根目录

　　%Temp% 　　　　　　\Documents and Settings\当前用户\Local Settings\Temp

　　%System32% 　　　　　　　　　　系统的 System32文件夹

　　Windows2000/NT中默认的安装路径是C:\Winnt\System32

　　windows95/98/me中默认的安装路径是C:\Windows\System

　　windowsXP中默认的安装路径是C:\Windows\System32

　　清除方案：

　　1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

　　2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　(1)使用安天免费安全工具ATool多选下列进程，结束：

　　SysInfo1.dll

　　(2)打开注册表编辑器，修改下列册表键值为旧值：

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
　　\InProcServer32\@
　　Value: String: "C:\Program Files
　　\Common Files\Microsoft Shared
　　\MSINFO\SysInfo1.dll"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes
　　\CLSID\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
　　\InProcServer32\ThreadingModel
　　Value: String: "Apartment"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Explorer \ShellExecuteHooks
　　\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
　　Value: String: ""

　　(3)删除病毒文件：

      %Program Files%\Common Files\Microsoft
　　Shared\MSINFO\SysInfo1.dll

标签： 安全 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。