Trojan.GameThief.Win32.OnLineGames.tqwb

該病毒為華夏2游遊戲盜號木馬,病毒運行後,釋放病毒檔案“19b5406.sys、2EF0D734.cfg、2EF0D734.dll”(隨機病毒名)到%System32%目錄下,創建病毒服務,添加病毒HOOK項,註冊病毒CLSID值,查找%System32%目錄下的VErCLSiD.exe檔案,如找到則將其刪除,調用函式將病毒DLL檔案載入到記憶體中,試圖注入到所有進程中,病毒運行完畢後刪除自身,病毒驅動檔案主要行為:恢復SSDT使卡巴主動防禦失效,DLL檔案主要行為:調用函式創建、開啟病毒服務,利用全局鉤子獲取遊戲鍵盤輸入信息截取遊戲賬戶信息,以URL方式傳送到指定的地址中。

基本介紹

  • 軟體名稱:Trojan.GameThief.Win32.OnLineGames.tqwb
  • 檔案長度:22,388位元組
  • 危害等級:4
  • 公開範圍:完全公開
  • 病毒類型: 盜號木馬
病毒標籤,行為分析,清除方案,

病毒標籤

病毒名稱: Trojan-GameThief.Win32.OnLineGames.tqwb
檔案 MD5: 06B970B8D784FC56EB844EE1591C67C2
感染系統: Windows98以上版本
開發工具: WinUpack 0.39 final -> By Dwing [Overlay]

行為分析

本地行為
1、檔案運行後會釋放以下檔案
%System32%\drivers\19b5406.sys
%System32%\2EF0D734.cfg
%System32%\2EF0D734.dll
2、創建病毒服務,添加病毒HOOK項,註冊病毒CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EF0D734-21FD-4225-A1A2-BCD296182AAF}\InprocServer32\@
值: 字元串: "2EF0D734.dll"
描述:添加病毒DLL啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{2EF0D734-21FD-4225-A1A2-BCD296182AAF}
描述:添加HOOK啟動項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\19b5406\DisplayName
值: 字元串: "19b5406 Driver"
描述:病毒服務名
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\19b5406\ImagePath
值: 字元串: " \??\C:\WINDOWS\system32\19b5406.sys."
描述:病毒服務映像啟動得的檔案路徑
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\19b5406\Start
值: DWORD: 3 (0x3)
描述:病毒服務啟動方式
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\19b5406\Type
值: DWORD: 1 (0x1)
描述:服務類型
3、查找%System32%目錄下的VErCLSiD.exe檔案,如找到則將其刪除,調用函式將病毒DLL檔案載入到記憶體中,試圖注入到所有進程中,毒運行完畢後刪除自身,病毒驅動檔案主要行為:恢復SSDT使卡巴主動防禦失效,LL檔案主要行為:調用函式創建、開啟病毒服務,調用UnhookWindowsHookEx函式利用全局鉤子獲取遊戲鍵盤輸入信息截取遊戲賬戶信息。
網路行為
通過URL方式將帳戶信息傳送到作者作者地址中,以以下回傳格式傳送:
&P=%s&MB=%s&H=%s&PIN=%s&R=%s&RG=%d&M=%d&M1=%d&mac=%s&RG1=%d&Z=%s:%s
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir%     WINDODWS所在目錄
%DriveLetter%    邏輯驅動器根目錄
%ProgramFiles%      系統程式默認安裝目錄
%HomeDrive%   當前啟動的系統的所在分區
%Documents and Settings%  當前用戶文檔根目錄
%Temp%  \Documents and Settings
\當前用戶\Local Settings\Temp
%System32%  系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%

清除方案

1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)先打開Atool工具強行刪除以下病毒檔案
%System32%\drivers\19b5406.sys
%System32%\2EF0D734.cfg
%System32%\2EF0D734.dll
(2) 除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EF0D734-21FD-4225-A1A2-BCD296182AAF}\InprocServer32\@
刪除InprocServer32鍵下的@鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{2EF0D734-21FD-4225-A1A2-BCD296182AAF}
刪除ShellExecuteHooks鍵下的{2EF0D734-21FD-4225-A1A2-BCD296182AAF}鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
刪除CLSID鍵下的{06717D20-4FAA-48E1-B4BA-E8F80DAF1F06}鍵值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\19b5406\DisplayName
刪除Services鍵下的19b5406主鍵值

相關詞條

熱門詞條

聯絡我們