Trojan-PSW.Win32.OnLineGames.appy分析_安天防线

Trojan-PSW.Win32.OnLineGames.appy分析(2008-07-21 17:31:34)

病毒标签：

    病毒名称： Trojan-PSW.Win32.OnLineGames.appy
    病毒类型：盗号木马
    文件 MD5： BB1F7256479AF88B3DF6DB929C51AF55
    公开范围：完全公开
    危害等级： 3
    文件长度： 16,255 字节
    感染系统： Windows98以上版本
    开发工具： Microsoft Visual C++ 6.0
    加壳类型： Upack 0.3.9 beta2s -> Dwing [Overlay]

病毒描述：

　　该病毒为QQ华夏2盗号木马，病毒运行之后获取系统目录,在%System32%目录下释放病毒文件：vlhxaklo.sys、jkhxaklo.dll、qbhxaklo.sys，并将自身复制到此目录下命名为：dehxaklo.exe，调用API函数SetFileAttributesA修改病毒文件属性，将文件修改日期修改为2004-08-08并将属性修改为隐藏，使用户无法轻易发现病毒文件，新增注册表项，创建CLSID值，添加到HOOK项启动，将病毒DLL注册为BHO 浏览器辅助对象，并将jkhxaklo.dll病毒文件注入到Explorer.exe进程中，遍历进程查找hx2game.exe进程名，如找到则调用API函数TerminateProcess将游戏进程结束，目的使用户再次登陆时以便记录帐号及密码，获取临时目录释放BAT批处理文件，等待病毒完全加载执行完毕后删除病毒自身。
　　病毒jkhxaklo.dll文件的行为：监视QQLogin.exe登陆窗口一但发现将密码用户名截取后，通过以URL方式发送到作者指定的地址中。

行为分析：

    本地行为：
    1、文件运行后会释放以下文件：
　　　　%system32%\vlhxaklo.sys 　　　　520 字节
　　　　%system32%\np3wod.sys 　　　　 23,040 字节
　　　　%system32%\dehxaklo.exe 　　　　16,255 字节

    2、新增注册表项，创建CLSID值，添加到HOOK项启动，将病毒DLL注册为BHO 浏览器辅助对象：　　　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{14698742-2059-3025-9058-954023874141}
　　　　\InprocServer32]
　　　　注册表值: “@”
　　　　类型： REG_SZ
　　　　字符串："C:\WINDOWS\system32\jkhxaklo.dll"
　　　　描述:注册CLSID值

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer
　　　　\Browser Helper Objects
　　　　\{14698742-2059-3025-9058-954023874141}]
　　　　注册表值: “@”
　　　　类型： REG_SZ
　　　　字符串："jkhxaklo.dll"
　　　　描述：系统启动时使explorer.exe进程自动加载jkhxaklo.dll病毒文件

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer
　　　　\ShellExecuteHooks
　　　　\{14698742-2059-3025-9058-954023874141}
　　　　注册表值：""
　　　　类型： REG_SZ
　　　　值："jkhxaklo.dll"
　　　　描述: 将病毒文件的ID号添加到HOOK项中，使explorer.exe
　　　　进程自动加载病毒文件。

    3、调用API函数SetFileAttributesA修改病毒文件属性，将文件修改日期修改为2004-08-08并将属性修改为隐藏，使用户无法轻易发现病毒文件。
　　　　　　　　
    4、将jkhxaklo.dll病毒文件注入到Explorer.exe进程中，遍历进程查找hx2game.exe进程名，如找到则调用API函数TerminateProcess将游戏进程结束。

    5、获取临时目录释放BAT批处理文件，等待病毒完全加载执行完毕后删除病毒自身。病毒jkhxaklo.dll文件的行为：监视QQLogin.exe登陆窗口一但发现将密码用户名截取。

    网络行为:
　　　　以URL方式发送到指定的地址中，回传格式为：
　　　　?act=...&d10=...://./...mibao.asp
　　
    注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
　　
　　　　%Windir% 　　　　　　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　　　　　　　　逻辑驱动器根目录
　　　　%ProgramFiles%　　　　　　　系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32

清除方案：

1、使用安天防线可彻底清除此病毒(推荐)，点击此处免费下载安天防线。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。　
　 (1)使用ATOOL进程管理查找Explorer.exe进程模块中的jkhxaklo.dll病毒文件，将其卸载掉，点击此处下载免费工具Atool。
　 (2)强行删除病毒下载的大量病毒文件：
　　 %system32%\vlhxaklo.sys 　　　　520 字节
　　 %system32%\np3wod.sys 　　　　 23,040 字节
　　 %system32%\dehxaklo.exe 　　　　16,255 字节
　 (3)恢复病毒修改的注册表项：
　　 [HKEY_LOCAL_MACHINE\SOFTWARE
　　 \Classes\CLSID
　　 \{14698742-2059-3025-9058-954023874141}
　　 \InprocServer32]
　　注册表值: “@”
　　类型： REG_SZ
　　字符串："C:\WINDOWS\system32\jkhxaklo.dll"
　　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　 \Windows\CurrentVersion\Explorer
　　 \Browser Helper Objects
　　 \{14698742-2059-3025-9058-954023874141}]
　　注册表值: “@”
　　类型： REG_SZ
　　字符串："jkhxaklo.dll"
　　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　 \Windows\CurrentVersion\Explorer
　　 \ShellExecuteHooks
　　 \{14698742-2059-3025-9058-954023874141}
　　注册表值：""
　　类型： REG_SZ
　　值："jkhxaklo.dll"