病毒标簽
病毒名稱: Trojan-GameThief.Win32.OnLineGames.soiv
病毒類型:盜号木馬
文件 MD5: 7EFE63F06D60F3693F0E004FC6A3CC63
公開範圍:完全公開
危害等級: 3
文件長度: 19,991 字節
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: Upack V0.37 - Dwing [Overlay] *
病毒描述
病毒運行之後查找%System32%目錄下的Verclsid.exe文件将其删除,衍生wrqszl.dll(随機病毒名)病毒文件到%System32%目錄下,并把屬性設置為隐藏,注冊病毒CLSID注冊表值,添加HOOK項,遍曆進程搜索“AVP.exe”,如找到則釋放winsYs.reg文件,用來添加病毒HOOK啟動項,如找不到“AVP.exe”進程,釋放tf0文件到%System32%目錄下,調用API對注冊表添加病毒HOOK項,等待添加病毒HOOK項完畢後将tf0文件删除,調用LoadLibraryA将病毒DLL加載到進程,試圖将病毒DLL文件注入到smss.exe、csrss.exe、winlogon.exe除外的所有進程,衍生的DLL文件主要功能:通過截獲當前用戶的鍵盤和鼠标消息以獲取遊戲的賬号及密碼,發送到病毒作者指定的URL。
行為分析
本地行為
1、文件運行後會釋放以下文件
%system32%\wrqszl.dll(随機病毒名) 232,960 字節
%system32%\tf0 156,741 字節
%system32%\winsYs.reg 170 字節
2、新增注冊表項,創建CLSID值,添加到HOOK項啟動
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F99DEFDD-200B-4410-B572-E90883D527D2}\InprocServer32]
注冊表值: “@”
類型: REG_SZ
字符串:C:\WINDOWS\system32\wrqszl.dll
描述:注冊CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F99DEFDD-200B-4410-B572-E90883D527D2}]
注冊表值:
類型: REG_SZ
值:
描述: 将病毒文件的ID号添加到HOOK項中,使explorer.exe進程自動加載病毒文件
3、病毒運行後查找%System32%目錄下的Verclsid.exe,找到将其删除
4、遍曆進程搜索“AVP.exe”,如找到則釋放winsYs.reg文件,用來添加病毒HOOK啟動項如找不到“AVP.exe”進程,釋放tf0文件到%System32%目錄下,調用API對注冊表添加病毒HOOK項,等待添加病毒HOOK項完畢後将tf0文件删除,winsYs.reg文件内容為:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS]
{F99DEFDD-200B-4410-B572-E90883D527D2}=
5、調用LoadLibraryA将病毒DLL加載到進程,試圖将病毒DLL文件注入到smss.exe、csrss.exe、winlogon.exe除外的所有進程,通過截獲當前用戶的鍵盤和鼠标消息以獲取遊戲的賬号及密碼
網絡行為
以URL方式發送到指定的地址中,回傳格式為:
x5yaonwom4ktn0(加密地址) str=
注:%System32%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程序默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings \當前用戶\Local Settings\Temp
%System32% 系統的 System32文件夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析删除對應文件,恢複相關系統設置。
(1)使用ATOOL進程管理查找smss.exe、csrss.exe、winlogon.exe進程除外的所有進程模塊中的ddserh.dll病毒文件,将其卸載掉。
(2)強行删除病毒下載的大量病毒文件
%system32%\wrqszl.dll
%system32%\tf0
%system32%\winsYs.reg
(3)删除病毒添加的注冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F99DEFDD-200B-4410-B572-E90883D527D2}\InprocServer32]
注冊表值: “@”
類型: REG_SZ
字符串:C:\WINDOWS\system32\wrqszl.dll
描述:注冊CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F99DEFDD-200B-4410-B572-E90883D527D2}
注冊表值:
類型: REG_SZ
值:
描述: 将病毒文件的ID号添加到HOOK項中,使explorer.exe進程自動加載病毒文件