該病毒為盜新破天一劍遊戲賬號的木馬,病毒運行之後查找%System32%目錄下的Verclsid.exe檔案將其刪除,衍生wrqszl.dll(隨機病毒名)病毒檔案到%System32%目錄下,並把屬性設定為隱藏,註冊病毒CLSID註冊表值,添加HOOK項,遍歷進程搜尋“AVP.exe”,如找到則釋放winsYs.reg檔案,用來添加病毒HOOK啟動項,如找不到“AVP.exe”進程,釋放tf0檔案到%System32%目錄下,調用API對註冊表添加病毒HOOK項,等待添加病毒HOOK項完畢後將tf0檔案刪除,調用LoadLibraryA將病毒DLL載入到進程,
基本介紹
- 中文名:Trojan.GameThief.Win32.OnLineGames.soiv
- 病毒類型:盜號木馬
- 公開範圍:完全公開
- 危害等級:3
病毒標籤,行為分析,清除方案,
病毒標籤
病毒名稱: Trojan-GameThief.Win32.OnLineGames.soiv
病毒類型: 盜號木馬
檔案 MD5: 7EFE63F06D60F3693F0E004FC6A3CC63
公開範圍: 完全公開
危害等級: 3
檔案長度: 19,991 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: Upack V0.37 -> Dwing [Overlay] *
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%system32%\wrqszl.dll(隨機病毒名) 232,960 位元組
%system32%\tf0 156,741 位元組
%system32%\winsYs.reg 170 位元組
2、新增註冊表項,創建CLSID值,添加到HOOK項啟動
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F99DEFDD-200B-4410-B572-E90883D527D2}\InprocServer32]
註冊表值: “@”
類型: REG_SZ
字元串:"C:\WINDOWS\system32\wrqszl.dll"
描述:註冊CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F99DEFDD-200B-4410-B572-E90883D527D2}]
註冊表值:""
類型: REG_SZ
值:""
描述: 將病毒檔案的ID號添加到HOOK項中,使explorer.exe進程自動載入病毒檔案
3、病毒運行後查找%System32%目錄下的Verclsid.exe,找到將其刪除
4、遍歷進程搜尋“AVP.exe”,如找到則釋放winsYs.reg檔案,用來添加病毒HOOK啟動項如找不到“AVP.exe”進程,釋放tf0檔案到%System32%目錄下,調用API對註冊表添加病毒HOOK項,等待添加病毒HOOK項完畢後將tf0檔案刪除,winsYs.reg檔案內容為:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS]
"{F99DEFDD-200B-4410-B572-E90883D527D2}"=""
5、調用LoadLibraryA將病毒DLL載入到進程,試圖將病毒DLL檔案注入到smss.exe、csrss.exe、winlogon.exe除外的所有進程,通過截獲當前用戶的鍵盤和滑鼠訊息以獲取遊戲的賬號及密碼
網路行為
以URL方式傳送到指定的地址中,回傳格式為:
x5yaonwom4ktn0(加密地址) &str=
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings \當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 強行刪除病毒下載的大量病毒檔案
%system32%\wrqszl.dll
%system32%\tf0
%system32%\winsYs.reg
(3) 刪除病毒添加的註冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F99DEFDD-200B-4410-B572-E90883D527D2}\InprocServer32]
註冊表值: “@”
類型: REG_SZ
字元串:"C:\WINDOWS\system32\wrqszl.dll"
描述:註冊CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F99DEFDD-200B-4410-B572-E90883D527D2}
註冊表值:""
類型: REG_SZ
值:""
描述: 將病毒檔案的ID號添加到HOOK項中,使explorer.exe進程自動載入病毒檔案
3、使用Trojan-GameThief.Win32.OnLineGames.bmoi專殺 1.0工具,能夠清除此病毒(強烈推薦)。
