木马PSW.Win32.OnLineGames.dxf分析
2018-06-11 来源:
病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.dxf
中文名称: 游戏大盗
病毒类型: 木马类
文件MD5: 53524DF08966CB17A07A4226F2624E7C
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前45,666 字节,脱壳后147,456 字节
感染系统: Windows9x以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
病毒描述:
该病毒运行后,衍生病毒副本到程序目录下,添加注册表hook项以引导病毒体。设置钩子函数劫获相关进程消息,发送到病毒作者指定页面,以盗取用户游戏账号信息。由于病毒只是简单的套用一个模式获取游戏信息,所以并不是对每一款游戏都有效。
行为分析:
本地行为:
1、文件运行后会衍生副本:
%Program Files%\Common Files\Microsoft Shared\MSINFO\SysInfo1.dll
2、新增注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}\InProcServer32\@
Value: String: "C:\Program Files\Common Files
\Microsoft Shared\MSINFO\SysInfo1.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
\InProcServer32\ThreadingModel
Value: String: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ShellExecuteHooks
\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
Value: String: """
3、主要hook下列进程,劫获敏感信息发送到指定页面:
elementclient.exe 《完美世界》
asktao.mod 《问道》
bo.exe 《刀剑OL》
woool.dat 《传奇世界》
main.exe 《奇迹》
kartrider.exe 《跑跑卡丁车》
audition.exe 《劲舞团》
_autopatch.exe 《魔域》
ca.exe 《泡泡堂》
soul.exe 《魔域》
freestyle.exe 《街头篮球》
mir3.exe 《传奇3》
cq.exe 《春秋Q传》
tianji.dat 《天机OL》
game.exe 《水浒Q传》
ogremain.dll 《天下图霸2》
zeroonline.exe 《机战ZeroOnline》
gameclient.exe 《浩方对战平台》
cabalmain.exe 《惊天动地》
qqgame.exe 《QQ游戏平台》
igame.exe 《中国游戏中心》
lobbyshell.exe 《新浪游戏大厅》
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天免费安全工具ATool多选下列进程,结束:
SysInfo1.dll
(2)打开注册表编辑器,修改下列册表键值为旧值:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
\InProcServer32\@
Value: String: "C:\Program Files
\Common Files\Microsoft Shared
\MSINFO\SysInfo1.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
\InProcServer32\ThreadingModel
Value: String: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer \ShellExecuteHooks
\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
Value: String: ""
(3)删除病毒文件:
%Program Files%\Common Files\Microsoft
Shared\MSINFO\SysInfo1.dll
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。