Trojan/Win32.OnLineGames.uuhu病毒為盜取網路遊戲dnf遊戲賬號的木馬。
基本介紹
- 外文名:Trojan/Win32.OnLineGames.uuhu[GameThief]
- 病毒類型:木馬
- 危害等級: 3
- 公開範圍:完全公開
病毒標籤,病毒描述,行為分析,本地行為,網路行為,清除方案,
病毒標籤
檔案 MD5: E164B4711EE7A77406A010E519ECB7E0
檔案長度: 15,136 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
病毒描述
該病毒為盜取網路遊戲dnf遊戲賬號的木馬,病毒運行後檢測%System32%目錄下是否存在*.dll檔案,如果存在更改其檔案名稱;複製系統檔案sfc_os.dll,載入sfc_os.dll檔案副本並調用其中相關函式禁用系統檔案保護;移動系統檔案comres.dll,嘗試在系統目錄和字型目錄下分別衍生病毒檔案comres.dll,在系統字型目錄下衍生病毒檔案gth60328.ttf;遍歷進程列表查找巨人遊戲客戶端進程"dnf.exe",並將之關閉。調用comres.dll檔案中的ins函式刪除原始病毒檔案。病毒不會對註冊表進行操作,病毒通過替換系統檔案comres.dll的方式來實現隨機啟動,被替換的comres.dll檔案被載入後將截獲用戶信息調用gth60328.ttf檔案將信息回傳給病毒作者。
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%System32%\ComRes.dll 11,264 位元組
%Windir%\fonts\gth60328.ttf 25,088 位元組
%Windir%\fonts\gth60328.fon 1,312 位元組
%Windir%\fonts\ComRes.dll 11,264 位元組
2、拷貝系統檔案
%System32%\sfc_os.dll 拷貝到 %System32%\mmsfc1.dll
%System32%\rundll32.exe 拷貝到 %System32%\gth60328.exe
3、移動系統檔案
%System32%\ComRes.dll 移動到 %System32%\sysgth.dll
4、調用mmsfc1.dll檔案中的5號導出函式(SetSfcFileException)禁用系統檔案保護功能。
網路行為
回傳數據的參數有如下:
?do=send&game=60&inputsource=%s&%ver=328&zone=%s&server=%s&name=%s&pass=%s&passtwo=%s&role
=%s&lord=%s&level=%s&money=%u&goldcoin=%u&yb=%u&equipment=%s&bag=%s&mb=%d&mbtime=%d&hardware=%s&key=%s&store=%s
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
%System32%\ComRes.dll
(2) 重啟系統後刪除病毒檔案
%Windir%\fonts\gth60328.ttf
%Windir%\fonts\gth60328.fon
%Windir%\fonts\ComRes.dll
%System32%\mmsfc1.dll
%System32%\gth60328.exe
%System32%\sysgth.dll
