Trojan.GameThief.Win32.OnLineGames.thxa,該病毒為夢幻西遊遊戲盜號木馬,病毒行後衍生病毒DLL檔案到%System32%目錄下重命名為:twlspdgz.DLL、twlspdgz.nls(隨機病毒名),註冊病毒CLSID值,添加HOOK啟動項,調用LoadLibraryA函式將病毒DLL檔案載入並試圖注入到所有進程中,釋放BAT批處理檔案到%Temp%目錄下,用於刪除自身,判斷進程是否存在my.exe進程,如存在則通過SetWindowsHookExA函式截獲鍵盤訊息,使用BroadcastSystemMessageA函式傳送訊息給指定的接受者,以便截取用戶的帳號信息。
基本介紹
- 外文名:Trojan.GameThief.Win32.OnLineGames.thxa
- 病毒類型:盜號木馬
- 公開範圍: 完全公開
- 危害等級:4
病毒標籤,行為分析,清除方案,
病毒標籤
病毒名稱: Trojan-GameThief.Win32.OnLineGames.thxa
病毒類型: 盜號木馬
檔案 MD5: 50C7FE447FCA494864C90E9C8F17A395
公開範圍: 完全公開
危害等級: 4
檔案長度: 15,928 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0 [Overlay]
加殼工具: Upack V0.37 -> Dwing [Overlay] *
行為分析
本地行為
1、衍生病毒檔案到以下目錄
%system32%\twlspdgz.dll 2,269,184 位元組
%system32%\twlspdgz.nls 288 位元組
2、添加註冊表啟動項
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}\InprocServer32]
註冊表值: “@”
類型: REG_SZ
字元串:"C:\WINDOWS\system32\otpkdnxp.dll"
描述:註冊CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjectDelayLoad]
註冊表值:"otpkdnxp.dll"
類型: REG_SZ
字元串:"{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}"
描述: 將病毒檔案的ID號添加到HOOK項中,使explorer.exe進程自動載入病毒檔案。
3、調用LoadLibraryA函式將病毒DLL檔案載入並試圖注入到所有進程中,釋放BAT批處理檔案到%Temp%目錄下,用於刪除自身,BAT代碼:
del "病毒原檔案位置"
if exist "病毒原檔案位置" goto t
del
4、判斷進程是否存在my.exe進程,如存在則通過SetWindowsHookExA函式截獲鍵盤訊息使用BroadcastSystemMessageA函式傳送訊息給指定的接受者。
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用安天防線或ATOOL進程管理工具查找所有進程模組中的twlspdgz.dll將其卸載掉。
(2)刪除病毒檔案
%system32%\twlspdgz.dll
%system32%\twlspdgz.nls
(3)刪除病毒添加的註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}\InprocServer32]
註冊表值: “@”
類型: REG_SZ
字元串:"C:\WINDOWS\system32\otpkdnxp.dll"
描述:註冊CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjectDelayLoad]
註冊表值:"otpkdnxp.dll"
類型: REG_SZ
字元串:"{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}"
