病毒標籤,病毒描述,行為分析-本地行為,行為分析-網路行為,清除方案,
病毒標籤
病毒名稱: Trojan/Win32.OnLineGames.uvsl[GameThief]
病毒類型: 木馬
檔案 MD5: 144D46D31AAAA265BBB9F4E39B8A192E
公開範圍: 完全公開
危害等級: 4
檔案長度: 16,160 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
病毒描述
病毒運行後,判斷%Windir%\fonts目錄下是否有後綴名為"dll"與"nls"格式的檔案,找到後將其重命名為BAK檔案,拷貝"sfc_os.dll"(系統檔案保護檔案)到%System32%目錄下重命名為"mmsfc.dll",調用函式載入拷貝後的系統DLL檔案,調用該DLL模組#5序號的函式,去掉對"ComRes.dll"的檔案保護,將system32\ComRes.dll備份為sysgth.dll,並衍生ComRes.dll替換該檔案,釋放病毒動態程式庫檔案gth79338.ttf到%Windir%\fonts目錄下,遍歷進程查找elementclient.exe進程,找到則將其強行結束,拷貝%system32%\rundll32.exe為%system32%\gth79338.exe,使用改名後的rundll32.exe檔案創建進程載入病毒動態程式庫檔案,試圖將其注入到所有進程中,讀取遊戲記憶體地址截取用戶賬號密碼,通過URL方式傳送到指定地址中。
行為分析-本地行為
1、檔案運行後會釋放以下檔案
%System32%\gth79338.exe
%Windir%\Fonts\ComRes.dll
%Windir%\Fonts\gth79338.ttf
%Windir%\Fonts\gth79338.fon
2、判斷%Windir%\fonts目錄下是否有後綴名為"dll"與"nls"格式的檔案,找到後將其重命名為BAK檔案,調用函式載入拷貝後的系統DLL檔案,調用該DLL模組#5序號的函式,去掉對"ComRes.dll"的檔案保護。
3、遍歷進程查找elementclient.exe進程,找到則將其強行結束,拷貝%system32%\rundll32.exe為%system32%\gth79338.exe,使用改名後的rundll32.exe檔案創建進程載入病毒動態程式庫檔案,試圖將其注入到所有進程中。
行為分析-網路行為
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用atool管理工具,查找被注入的病毒進程中的病毒模組名:ComRes.dll、gth79338.ttf找到後將其模組強行卸載。
(2) 使用%SystemRoot%\system32\sysgth.dll覆蓋%SystemRoot%\system32\ComRes.dll
(3) 強行刪除以下病毒檔案
%System32%\gth79338.exe
%Windir%\Fonts\ComRes.dll
%Windir%\Fonts\gth79338.ttf
%Windir%\Fonts\gth79338.fon