Trojan/Win32.Agent.gc蠕蟲病毒。該病毒為問道遊戲盜號木馬,病毒運行後,遍歷進程查找"safeboxtray.exe"、"360tray.exe"進程,如果找到則調用API函式強行結束進程,達到躲避360安全衛士追殺,釋放zywendao.dat、zywendao.dat、wd1231.dll檔案到%System32%目錄下,設定檔案屬性為隱藏,添加註冊表啟動項,查找類名為"AskTao"的窗體,找到之後向該窗體傳送WM_QUIT退出訊息,使用Rundll32.exe啟動病毒檔案wd1231.dll病毒檔案,試圖將病毒DLL檔案注入到所有進程中,病毒運行完畢後將自身屬性設定為隱藏。
基本介紹
- 中文名:Trojan/Win32.Agent.gc [Banker]
- 病毒類型: 蠕蟲
- 公開範圍:完全公開
- 危害等級:4
電腦病毒標籤:,病毒描述:,行為分析-本地行為:,行為分析-網路行為:,清除方案:,
電腦病毒標籤:
病毒名稱: Trojan/Win32.Agent.gc
病毒類型: 蠕蟲
檔案 MD5: 45A96E447332E6DC1A3A73D6C93C7FC4
公開範圍: 完全公開
危害等級: 4
檔案長度: 14,477 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: FSG 2.0 -> bart/xt
病毒描述:
wd1231.dll病毒檔案分析:獲取當前句柄、比較是否注入在explorer.exe進程中,如是則創一個"renaima"事件信號量,創建執行緒遍歷進程查找safeboxtray.exe、360tray.exe進程找到強行結束進程,判斷自身是否注入到asktao.mod進程中,如果是則獲取主機名字檢測網路是否通暢,獲取當前窗體的名字,查找窗體是否含有“問道”標題,找到之後獲取當前窗體按鈕捲軸的坐標位置,比較當前遊戲賬戶所在區,安裝訊息鉤子、通過URL向病毒作者地址提交賬戶密碼及游及遊戲賬戶詳細信息。
行為分析-本地行為:
1、遍歷進程查找"safeboxtray.exe"、"360tray.exe"進程,如果找到則調用API函式強行結束進程,達到躲避360安全衛士追殺,查找類名為"AskTao"的窗體,找到之後向該窗體傳送WM_QUIT退出訊息,使用Rundll32.exe啟動病毒檔案wd1231.dll病毒檔案,試圖將病毒DLL檔案注入到所有進程中,病毒運行完畢後將自身屬性設定為隱藏。
2、檔案運行後會釋放以下檔案
%System32%\zywendao.dat
%System32%\zywendao2.dat
%System32%\wd1231.dll
3、添加註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Startwd
值: 字元串: "rundll32.exe C:\WINDOWS\system32\wd1231.dll,Hook"
描述:添加註冊表啟動項
4、wd1231.dll病毒檔案分析:獲取當前句柄、比較是否注入在explorer.exe進程中,如是則創一個"renaima"事件信號量,創建執行緒遍歷進程查找safeboxtray.exe、360tray.exe進程找到調用TerminateProcess函式強行結束進程。
5、判斷自身是否注入到asktao.mod進程中,如果是則獲取主機名字檢測網路是否通暢,獲取當前窗體的名字,查找窗體是否含有“問道”標題,找到之後獲取當前窗體按鈕捲軸的坐標位置,比較當前遊戲賬戶是否包含以下區(根據遊戲賬戶所在不同區域信息分別向病毒作者地址中傳送不同的數據):
鼓浪嶼、橘子洲頭、樂山大佛、錢塘觀潮、香格里拉、武當雄風、蜀南竹海、金頂佛光、倚天屠龍、黃埔風雲、奇門遁甲、黃果樹、巍巍太行、巴渝山城、華山論劍、豫園佳境、百里秦川、珠海明珠、鐘山風雨、嶺南風情、雲海蒼穹、飛天逐月、平湖秋月、電信一區、金戈鐵馬、雄霸天下、世外桃源、縱橫天下、岳陽樓、蓬萊仙境、黃鶴樓、虎踞龍盤、江山萬里、臥虎藏龍、天府情緣、三陽開泰、花好月圓、桃園結義、群星聚會、太極幻境、天地雄心、乾坤無極、柔情俠骨、黃山雲霧、電信二區、西湖映月、水月洞天、碧波瑤池、瑞雪豐年、君臨天下、天時地利、金玉滿堂、碧血情天、海闊天空、富甲天下、春意盎然、文韜武略、千秋霸業、凌霄寶殿、吉祥如意、內測專區、眾志成城、虎嘯龍吟、飛雪連天、千里嬋娟、電信三區、紫禁之顛、水泊梁山、林海雪原、物華天寶、火樹銀花、海河之濱、龍騰渤海、北京古都、御劍飛仙、風雨征途、逐鹿中原、避暑山莊、雪山飛狐、鐵血丹心、長白天池、龍盤泰山、笑傲江湖、萬里長城、牡丹花城、天山明月、網通一區、風雲際會、仙侶情緣、劍盪九州、清風明月、泰山北斗、風花雪月、仗劍長歌、尋仙問道、春花秋月、名動天下、舉世無雙、落雪繽紛、皓月千里、地久天長、炎黃盛世、陽春白雪、龍騰盛世、秋水長天、網通二區
行為分析-網路行為:
協定:TCP
連線埠:80
描述:根據遊戲賬戶所在不同區域信息分別向病毒作者地址中傳送不同的數據
POST basicinfo.aspx?Area=&Server=&Username=&Yuanbao=0&Role=&Rank=0&Cash=0&Account=0
POST qiankunsuo.aspx?username=
POST mibao.aspx?username=&first=mibao.aspx?username=&third=&second=
get kick.aspx?username=get
get quit.aspx?username=bank.aspx?username=yuanbao.aspx?username=
POST bank.aspx?username=yuanbao.aspx?username=
POST yuanbao.aspx?username=
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%
清除方案:
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。推薦使用ATool管理工具。
(2) 強行刪除病毒下載的大量病毒檔案
%System32%\zywendao.dat
%System32%\zywendao2.dat
%System32%\wd1231.dll
(3)刪除病毒添加的註冊表啟動項及劫持的安全軟體項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Startwd
刪除Run鍵下的Startwd主鍵值