木马PSW.Win32.OnLineGames.dxf分析

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

病毒标签:

  病毒名称: Trojan-PSW.Win32.OnLineGames.dxf

  中文名称: 游戏大盗

  病毒类型: 木马类

  文件MD5: 53524DF08966CB17A07A4226F2624E7C

  公开范围: 完全公开

  危害等级: 4

  文件长度: 脱壳前45,666 字节,脱壳后147,456 字节

  感染系统: Windows9x以上版本

  开发工具: Borland Delphi 6.0 - 7.0

  加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

  病毒描述:

  该病毒运行后,衍生病毒副本到程序目录下,添加注册表hook项以引导病毒体。设置钩子函数劫获相关进程消息,发送到病毒作者指定页面,以盗取用户游戏账号信息。由于病毒只是简单的套用一个模式获取游戏信息,所以并不是对每一款游戏都有效。

  行为分析:

  本地行为:

  1、文件运行后会衍生副本:

    %Program Files%\Common Files\Microsoft Shared\MSINFO\SysInfo1.dll


  2、新增注册表:

     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
  \{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}\InProcServer32\@
  Value: String: "C:\Program Files\Common Files
  \Microsoft Shared\MSINFO\SysInfo1.dll"
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
  \{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
  \InProcServer32\ThreadingModel
  Value: String: "Apartment"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Explorer\ShellExecuteHooks
  \{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
  Value: String: """


  3、主要hook下列进程,劫获敏感信息发送到指定页面:

      elementclient.exe     《完美世界》
  asktao.mod         《问道》
  bo.exe           《刀剑OL》
  woool.dat         《传奇世界》
  main.exe          《奇迹》
  kartrider.exe       《跑跑卡丁车》
  audition.exe        《劲舞团》
  _autopatch.exe       《魔域》
  ca.exe           《泡泡堂》
  soul.exe          《魔域》
  freestyle.exe       《街头篮球》
  mir3.exe          《传奇3》
  cq.exe           《春秋Q传》
  tianji.dat         《天机OL》
  game.exe          《水浒Q传》
  ogremain.dll        《天下图霸2》
  zeroonline.exe       《机战ZeroOnline》
  gameclient.exe       《浩方对战平台》
  cabalmain.exe       《惊天动地》
  qqgame.exe         《QQ游戏平台》
  igame.exe         《中国游戏中心》
  lobbyshell.exe       《新浪游戏大厅》


  注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

  %Windir%             WINDODWS所在目录

  %DriveLetter%          逻辑驱动器根目录

  %ProgramFiles%          系统程序默认安装目录

  %HomeDrive%           当前启动的系统的所在分区

  %Documents and Settings%    当前用户文档根目录

  %Temp%       \Documents and Settings\当前用户\Local Settings\Temp

  %System32%           系统的 System32文件夹

  Windows2000/NT中默认的安装路径是C:\Winnt\System32

  windows95/98/me中默认的安装路径是C:\Windows\System

  windowsXP中默认的安装路径是C:\Windows\System32

  清除方案:

  1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

  2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

  (1)使用安天免费安全工具ATool多选下列进程,结束:

  SysInfo1.dll

  (2)打开注册表编辑器,修改下列册表键值为旧值:

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
  \{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
  \InProcServer32\@
  Value: String: "C:\Program Files
  \Common Files\Microsoft Shared
  \MSINFO\SysInfo1.dll"
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes
  \CLSID\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
  \InProcServer32\ThreadingModel
  Value: String: "Apartment"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Explorer \ShellExecuteHooks
  \{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
  Value: String: ""


  (3)删除病毒文件:

      %Program Files%\Common Files\Microsoft
  Shared\MSINFO\SysInfo1.dll

标签: 安全 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:深信服SSL VPN 2008年全年市场占有率居第一位

下一篇:软件公司Solidcore被McAfee收购