Trojan/Win32.OnLineGames.bkzg[GameThief]

該病毒為盜取傳奇世界遊戲賬號類木馬,病毒運行後獲取隨即八位字母,依次為病毒名,以nls為擴展名衍生病毒檔案到%Windir%\fonts目錄下,載入dll檔案並調用dll中的功能模組,執行註冊dll,修改註冊表添加hook項等操作;遍歷進程列表,檢測進程中調用了woool.dat檔案的進程並將之關閉。為命令行創建執行緒刪除病毒本體。Dll檔案被載入後重新載入自身,檢測360相關進程成並將之關閉。檢測傳奇世界進程。發現後捕獲用戶輸入,傳送到指定的收取頁面。

基本介紹

  • 外文名: Trojan/Win32.OnLineGames.bkzg[GameThief]
  • 病毒類型木馬
  • 公開範圍:完全公開
  • 危害等級:3
病毒標籤,行為分析-本地行為,行為分析-網路行為,清除方案,

病毒標籤

檔案 MD5: D8FA90F2A769C994081321D805E91C8E
檔案長度: 15,301 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: FSG 2.0

行為分析-本地行為

1、檔案運行後會釋放以下檔案
%Windir%\Fonts\gzcqsj01.dat 42 位元組
%Windir%\Fonts\pddwrwks.nls 49,152 位元組[8位隨機檔案名稱]
2、新增註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}\InprocServer32]
註冊表值: "@"
類型: REG_SZ
值: "C:\WINDOWS\fonts\pddwrwks.nls"
描述:為動態程式庫檔案註冊ID
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
註冊表值: "{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}"
類型: REG_SZ
值: ""
描述:添加hook用以截獲用戶的相關信息

行為分析-網路行為

收信地址:
http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp
回傳參數:
格式1:
http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp?gametype=cqsj&para=%s&%ver=0316&zone=%s&server
=%s&name=%s&password=%s&secopass=%s&nickname=%s&lord=%s&level=%s&money=%u&goldcoin=%u&yb=%u&equipment
=%s&bag=%s&mb=%d&mbtime=%d&hardinfo=%s&norefreshcode=%s
格式2:
http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp?gametype=cqsj&name=%s&password=%s&zone=%s&server
=%s&bankpass=%s&level=%s&mb=%d&norefreshcode=%s
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\WINDODWS所在目錄
%DriveLetter%\邏輯驅動器根目錄
%ProgramFiles%\系統程式默認安裝目錄
%HomeDrive% = C:\當前啟動的系統的所在分區
%Documents and Settings%\當前用戶文檔根目錄

清除方案

1、使用安天防線可徹底清除此病毒。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 恢復修改的註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}\InprocServer32]
註冊表值: "@"
類型: REG_SZ
值: "C:\WINDOWS\fonts\pddwrwks.nls"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
註冊表值: "{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}"
類型: REG_SZ
值: ""
(2) 重新啟動計算機,刪除病毒檔案
%Windir%\Fonts\gzcqsj01.dat
%Windir%\Fonts\pddwrwks.nls[隨即8位檔案名稱]

相關詞條

熱門詞條

聯絡我們