基本介紹
病毒標籤,行為分析,本地行為,網路行為,清除方案,
病毒標籤
檔案MD5: 4D227C0304823FF0928D0AA504D5076B
公開範圍: 完全公開
危害等級: 4
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++
加殼類型: 未知
行為分析
本地行為
病毒運行後通過註冊表檢測用戶是否安裝網路遊戲魔獸世界,對未安裝魔獸世界的計算機病毒將衍生病毒檔案到臨時目錄下,並將病毒原始檔案移動到臨時目錄;如被感染計算機已經安裝魔獸世界,病毒將衍生病毒檔案到魔獸世界的安裝目錄下,修改魔獸世界相關程式wow.exe,使得病毒檔案衍生的dll檔案能夠隨遊戲啟動而運行,病毒衍生的dll檔案被載入後將掛鈎訊息循環,截獲訊息數據,截獲的數據將傳送到指定的網路頁面中;程式運行完畢後將移動病毒原始檔案到臨時目錄下。
1、讀取註冊表通過鍵值是否存在和鍵值的數據判斷被感染計算機是否已經安裝魔獸世界
Path:[HKEY_LOCAL_MACHINE\SOFTWARE\Blizzard Entertainment\World of Warcraft]
Key:InstallPath
2、檔案運行後會釋放以下檔案
(1)如未安裝魔獸世界
%Tmp%\msdfjsadfjd.dat 26,360 位元組
%Tmp%\mswsasystem.gif 22,264 位元組
(2)如已安裝魔獸世界
%wow install dir%\ msdfjsadfjd.dat 26,360 位元組
%Tmp%\mswsasystem.gif 22,264 位元組
3、檢測進程列表中是否存在wow.exe,如存在且存在進程avp.exe或KVMonXP.exe,病毒將不對wow進行掛鈎,將修改wow.exe檔案偏移5B9BF0h處數據進行修改,使病毒衍生的dll檔案隨wow.exe檔案的啟動而運行。衍生的病毒檔案同樣導出DivxDecoder.dll檔案導出的導出函式,但函式並不具備原函式相同的代碼。如果進程中存在wow.exe但沒有avp.exe和KVMonXP.exe進程,系統將衍生動態連線庫檔案到臨時目錄下,並將之載入調用相關導出函式截獲用戶信息,如當前沒有啟動wow.exe,病毒將修改wow.exe檔案。
原數據:DivxDecoder.dll
修改後數據:msdfjsadfjd.dat
4、病毒通過掛鈎程式的WH_GETMESSAGE訊息截獲敏感數據。
網路行為
回傳數據參數:
&mbh=&p=action=ok&u=&pn=&s=&pn=&dj=&jb=&js=&zy=&fm=act&mbm=
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 刪除病毒檔案
%wow install dir%\msdfjsadfjd.dat
%Tmp%\mswsasystem.gif
(2)拷貝正常程式wow.exe到遊戲目錄,覆蓋被病毒修改的檔案