該病毒為盜夢幻西遊online遊戲賬號的木馬,病毒運行後查找%System32%目錄下的Verclsid.exe,找到將其刪除,衍生病毒檔案“mttwfh.dll”到%System32%目錄下,添加註冊表註冊病毒CLSID值及HOOK啟動項,遍歷進程搜尋“AVP.exe”,如找到則釋放winsYs.reg檔案,用來添加病毒HOOK啟動項
基本介紹
- 外文名:Trojan.GameThief.Win32.OnLineGames.snxy
- 公開範圍:完全公開
- 危害等級:3
- 檔案長度:23,263位元組
病毒標籤,病毒描述,行為分析,清除方案,
病毒標籤
病毒名稱: Trojan-GameThief.Win32.OnLineGames.snxy
病毒類型: 盜號木馬
檔案 MD5: DA91C0236642E171667EE10E60CE8B3F
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: Upack V0.37 ->Dwing [Overlay] *
病毒描述
如找不到“AVP.exe”進程,釋放tf0檔案到%System32%目錄下,調用API對註冊表添加病毒HOOK項,等待添加病毒HOOK項完畢後將tf0檔案刪除,調用LoadLibraryA將病毒DLL載入到進程,試圖將病毒DLL檔案注入到smss.exe、csrss.exe、winlogon.exe除外的所有進程,衍生的DLL檔案主要功能:通過截獲當前用戶的鍵盤和滑鼠訊息以獲取遊戲的賬號及密碼,傳送到病毒作者指定的URL。
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%system32%\mttwfh.dll 275,968 位元組
%system32%\tf0 159,744 位元組
%system32%\winsYs.reg 171 位元組
2、新增註冊表項,創建CLSID值,添加到HOOK項啟動
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{021F087F-4378-545F-74FA-37D345AD7A8C}\InprocServer32]
註冊表值: “@”
類型: REG_SZ
字元串:"C:\WINDOWS\system32\mttwfh.dll"
描述:註冊CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{021F087F-4378-545F-74FA-37D345AD7A8C}
註冊表值:
類型: REG_SZ
值:
描述: 將病毒檔案的ID號添加到HOOK項中,使explorer.exe進程自動載入病毒檔案。
3、病毒運行後查找%System32%目錄下的Verclsid.exe,找到將其刪除
4、遍歷進程搜尋“AVP.exe”,如找到則釋放winsYs.reg檔案,用來添加病毒HOOK啟動項如找不到“AVP.exe”進程,釋放tf0檔案到%System32%目錄下,調用API對註冊表添加病毒HOOK項,等待添加病毒HOOK項完畢後將tf0檔案刪除,winsYs.reg檔案內容為:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS]\"{021F087F-4378-545F-74FA-37D345AD7A8C}“=”
5、調用LoadLibraryA將病毒DLL載入到進程,試圖將病毒DLL檔案注入到smss.exe、csrss.exe、winlogon.exe除外的所有進程,通過截獲當前用戶的鍵盤和滑鼠訊息以獲取遊戲的賬號及密碼
網路行為
以URL方式傳送到指定的地址中,回傳格式為:
/pi.asp?md=0&Str=0000&c=00000001
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 強行刪除病毒下載的大量病毒檔案
%system32%\ddserh.dll
%system32%\tf0
%system32%\winsYs.reg
(3) 刪除病毒添加的註冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{021F087F-4378-545F-74FA-37D345AD7A8C}\InprocServer32]
註冊表值: “@”
類型: REG_SZ
字元串:"C:\WINDOWS\system32\mttwfh.dll"
描述:註冊CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{021F087F-4378-545F-74FA-37D345AD7A8C}
註冊表值:" "
類型: REG_SZ
值:" "
描述: 將病毒檔案的ID號添加到HOOK項中,使explorer.exe進程自動載入病毒檔案。
