Trojan.GameThief.Win32.OnLineGames.soiv

Trojan.GameThief.Win32.OnLineGames.soiv

Trojan.GameThief.Win32.OnLineGames.soiv
Trojan.GameThief.Win32.OnLineGames.soiv為盜新破天一劍遊戲賬号的木馬病毒。

病毒标簽

病毒名稱: Trojan-GameThief.Win32.OnLineGames.soiv

病毒類型:盜号木馬

文件 MD5: 7EFE63F06D60F3693F0E004FC6A3CC63

公開範圍:完全公開

危害等級: 3

文件長度: 19,991 字節

感染系統: Windows98以上版本

開發工具: Microsoft Visual C++ 6.0

加殼類型: Upack V0.37 - Dwing [Overlay] *

病毒描述

病毒運行之後查找%System32%目錄下的Verclsid.exe文件将其删除,衍生wrqszl.dll(随機病毒名)病毒文件到%System32%目錄下,并把屬性設置為隐藏,注冊病毒CLSID注冊表值,添加HOOK項,遍曆進程搜索“AVP.exe”,如找到則釋放winsYs.reg文件,用來添加病毒HOOK啟動項,如找不到“AVP.exe”進程,釋放tf0文件到%System32%目錄下,調用API對注冊表添加病毒HOOK項,等待添加病毒HOOK項完畢後将tf0文件删除,調用LoadLibraryA将病毒DLL加載到進程,試圖将病毒DLL文件注入到smss.exe、csrss.exe、winlogon.exe除外的所有進程,衍生的DLL文件主要功能:通過截獲當前用戶的鍵盤和鼠标消息以獲取遊戲的賬号及密碼,發送到病毒作者指定的URL。

行為分析

本地行為

1、文件運行後會釋放以下文件

%system32%\wrqszl.dll(随機病毒名) 232,960 字節

%system32%\tf0 156,741 字節

%system32%\winsYs.reg 170 字節

2、新增注冊表項,創建CLSID值,添加到HOOK項啟動

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F99DEFDD-200B-4410-B572-E90883D527D2}\InprocServer32]

注冊表值: “@”

類型: REG_SZ

字符串:C:\WINDOWS\system32\wrqszl.dll

描述:注冊CLSID值

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F99DEFDD-200B-4410-B572-E90883D527D2}]

注冊表值:

類型: REG_SZ

值:

描述: 将病毒文件的ID号添加到HOOK項中,使explorer.exe進程自動加載病毒文件

3、病毒運行後查找%System32%目錄下的Verclsid.exe,找到将其删除

4、遍曆進程搜索“AVP.exe”,如找到則釋放winsYs.reg文件,用來添加病毒HOOK啟動項如找不到“AVP.exe”進程,釋放tf0文件到%System32%目錄下,調用API對注冊表添加病毒HOOK項,等待添加病毒HOOK項完畢後将tf0文件删除,winsYs.reg文件内容為:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS]

{F99DEFDD-200B-4410-B572-E90883D527D2}=

5、調用LoadLibraryA将病毒DLL加載到進程,試圖将病毒DLL文件注入到smss.exe、csrss.exe、winlogon.exe除外的所有進程,通過截獲當前用戶的鍵盤和鼠标消息以獲取遊戲的賬号及密碼

網絡行為

以URL方式發送到指定的地址中,回傳格式為:

x5yaonwom4ktn0(加密地址) str=

注:%System32%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。

%Windir% WINDODWS所在目錄

%DriveLetter% 邏輯驅動器根目錄

%ProgramFiles% 系統程序默認安裝目錄

%HomeDrive% 當前啟動的系統的所在分區

%Documents and Settings% 當前用戶文檔根目錄

%Temp% \Documents and Settings \當前用戶\Local Settings\Temp

%System32% 系統的 System32文件夾

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32

windows95/98/me中默認的安裝路徑是C:\Windows\System

windowsXP中默認的安裝路徑是C:\Windows\System32

清除方案

1、使用安天防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析删除對應文件,恢複相關系統設置。

(1)使用ATOOL進程管理查找smss.exe、csrss.exe、winlogon.exe進程除外的所有進程模塊中的ddserh.dll病毒文件,将其卸載掉。

(2)強行删除病毒下載的大量病毒文件

%system32%\wrqszl.dll

%system32%\tf0

%system32%\winsYs.reg

(3)删除病毒添加的注冊表項

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F99DEFDD-200B-4410-B572-E90883D527D2}\InprocServer32]

注冊表值: “@”

類型: REG_SZ

字符串:C:\WINDOWS\system32\wrqszl.dll

描述:注冊CLSID值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F99DEFDD-200B-4410-B572-E90883D527D2}

注冊表值:

類型: REG_SZ

值:

描述: 将病毒文件的ID号添加到HOOK項中,使explorer.exe進程自動加載病毒文件

相關詞條

相關搜索

其它詞條