|
| Trojan-GameThief.Win32.Magania.agzu分析 |
| 作者 开开 查看 108 发表时间 2008/10/21 14:49 【论坛浏览】 |
|
病毒名称: Trojan-GameThief.Win32.Magania.agzulidalsh 病毒类型: 盗号木马lidalsh 文件 MD5: 6B4BC1698FC61C4D7282E4E622806A9Alidalsh 公开范围: 完全公开lidalsh 危害等级: 4lidalsh 文件长度: 19,369 字节lidalsh 感染系统: Windows98以上版本lidalsh 开发工具: Upack V0.37 -> Dwing *lidalsh lidalsh 病毒描述 该病毒为魔域游戏盗号木马,病毒运行后,枚举进程获取进程快照、遍历查找my.exe、soul.exe等多款网游客户端进程,找到进程则强行结束该进程,查找类名为"AskTao"(问道游戏)的窗体,找到该窗体后向该窗体发送相应消息,打开\\.\slHBKernel32驱动设备创建HBKernel32.sys到%System32%目录下,创建病毒服务,添加注册表启动项,衍生病毒DLL文件"HBSOUL.dll、system.exe"到%System32%目录下,试图将病毒DLL文件注入到所有进程,创建病毒互斥量名为:"HBInjectMutex",防止病毒多次运行,创建system.exe病毒进程,衍生HBSelfDel.dll到系统临时文件夹目录下,使用"rundll32.exe %s,MagicDelete %s"命令启动病毒DLL文件,加载完毕后删除临时文件夹下的病毒文件,病毒运行完毕后删除自身,通过内存截取游戏帐户信息,发送到指定的地址中。lidalsh lidalsh 行为分析lidalsh 本地行为lidalsh 1、枚举进程获取进程快照、遍历查找my.exe等多款网游客户端进程,遍历以下游戏进程找到进程则强行结束包含得以下进程:lidalsh woool.dat、woool88.dat、xy2.exe、game.exe、SO2Game.exe、SO2GameFree.exe、FSOnline2.exe、gameclient.exe、elementclient.exe、asktao.mod、Wow.exe、ZeroOnline.exe、Bo.exe、Conquer.exe、soul.exe、TheWarlords.exe、china_login.mpr、blueskyclient_r.exe、xy3.exe、QQLogin.exe、DNF.exe、gc12.exe、hugemanclient.exe、HX2Game.exe、QQhxgame.exe、tw2.exe、QQSG.exe、QQFFO.exe、zhengtu.dat、mir1.dat、mir2.dat、Client.exelidalsh 2、调用函数FindWindowA查找类名为"AskTao"(问道游戏)的窗体,找到该窗体后通过函数PostMessageA参数Message = WM_SIZEWAIT向该窗体发送相应消息。lidalsh 3、文件运行后会释放以下文件lidalsh %System32%\drivers\HBKernel32.syslidalsh %System32%\HBSOUL.dlllidalsh %System32%\System.exelidalsh 4、修改、添加注册表启动项lidalsh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLslidalsh 新: 字符串: "HBSOUL.dll"lidalsh 旧: 字符串: ""lidalsh 描述:添加AppInit_DLLs启动项lidalsh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HBService32lidalsh 值: 字符串: "System.exe"lidalsh 描述:添加开机启动项lidalsh HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32\DisplayNamelidalsh 值: 字符串: "HBKernel32 Driver"lidalsh 描述:病毒服务名lidalsh HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32\ImagePathlidalsh 值: 字符串: "system32\drivers\HBKernel32.sys.lidalsh 描述:病毒服务映像启动得的文件路径lidalsh HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32\Startlidalsh 值: DWORD: 0 (0)lidalsh 描述:病毒服务启动方式lidalsh HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32\Typelidalsh 值: DWORD: 1 (0x1)lidalsh 描述:服务类型lidalsh 5、衍生HBSelfDel.dll到系统临时文件夹目录下,调用API函数OpenMutexA参数MutexName = "HBInjectMutex"创建病毒互斥量名为:"HBInjectMutex",防止病毒多次运行,使用"rundll32.exe%s,MagicDelete%s"命令,%s变量为启动病毒HBSelfDel.dll变量名,MagicDelete%s为加载完毕后删除的病毒文件命令。lidalsh 网络行为lidalsh 协议:TCPlidalsh 端口:80lidalsh 连接地址:http://888812****.com/www/post.asplidalsh 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。lidalsh %Windir% WINDODWS所在目录lidalsh %DriveLetter% 逻辑驱动器根目录lidalsh %ProgramFiles% 系统程序默认安装目录lidalsh %HomeDrive% 当前启动的系统的所在分区lidalsh %Documents and Settings% 当前用户文档根目录lidalsh %Temp% \Documents and Settingslidalsh \当前用户\Local Settings\Templidalsh %System32% 系统的 System32文件夹lidalsh lidalsh Windows2000/NT中默认的安装路径是C:\Winnt\System32lidalsh windows95/98/me中默认的安装路径是%WINDOWS%\Systemlidalsh windowsXP中默认的安装路径是%system32%lidalsh lidalsh 清除方案lidalsh 1、使用安天防线可彻底清除此病毒(推荐)。lidalsh 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool管理工具。lidalsh (1)先打开Atool工具强行删除以下病毒文件lidalsh %System32%\drivers\HBKernel32.syslidalsh %System32%\HBSOUL.dlllidalsh %System32%\System.exelidalsh (2)删除病毒添加的注册表项lidalsh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLslidalsh 新: 字符串: "HBSOUL.dll"lidalsh 旧: 字符串: ""lidalsh 删除AppInit_DLLs键下的键值lidalsh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runlidalsh 删除Run键下的HBService32主键值lidalsh HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSIDlidalsh 删除CLSID键下的{06717D20-4FAA-48E1-B4BA-E8F80DAF1F06}键值lidalsh HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Serviceslidalsh 删除Services键下的HBKernel32主键值 |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
 |
紧急求救!!!!! |
| |
[图文] 反病毒木马辅助工具... |
 |
[求助] 无法进入系统 |
| |
[讨论] 为什么系统的时间老... |
| |
[求助]系统核心服务程序6和... |
| |
[求助] 开机后瑞星杀毒软件... |
| |
[已解决] [求助]跪求如何清... |
| |
每次开机都弹出三个网页对... |
| |
[求助] 帮看下扫描 |
| |
反病毒可能需要用到的方法... |
