該病毒為QQ華夏2盜號木馬,病毒運行之後獲取系統目錄,在%System32%目錄下釋 放病毒檔案:vlhxaklo.sys、 jkhxaklo.dll、qbhxaklo.sys,並將自身複製到此目錄 下命名為:dehxaklo.exe,調用API函式 SetFileAttributesA修改病毒檔案屬性,將文 件修改日期修改為2004-08-08並將屬性修改為隱藏,使用戶無法輕易發現病毒檔案,新 增註冊表項,創建CLSID值,添加到HOOK項啟動,將病毒DLL註冊為BHO 瀏覽器輔助對象, 並將 jkhxaklo.dll病毒檔案注入到Explorer.exe進程中,遍歷進程查找hx2game.exe進
基本介紹
- 中文名:Trojan.PSW.Win32.OnLineGames.appy
- 病毒類型:盜號木馬
- 公開範圍:完全公開
- 檔案長度: 16,255 位元組
- 危害等級:3
- 感染系統:Windows98以上版本
- 開發工具:Microsoft Visual C++ 6.0
病毒標籤,病毒描述,行為分析,本地行為,輔助對象,網路行為,清除方案,
病毒標籤
病毒名稱: Trojan-PSW.Win32.OnLineGames.appy
病毒類型: 盜號木馬
檔案 MD5: BB1F7256479AF88B3DF6DB929C51AF55
公開範圍: 完全公開
危害等級: 3
檔案長度: 16,255 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: Upack 0.3.9 beta2s -> Dwing [Overlay]
病毒描述
程名,如找到則調用API函式TerminateProcess將遊戲進程結束,目的使用戶再次登入時
以便記錄帳號及密碼,獲取臨時目錄釋放BAT批處理檔案,等待病毒完全載入執行完畢後
刪除病毒自身。
病毒jkhxaklo.dll檔案的行為:監視QQLogin.exe登入視窗一但發現將密碼用戶名
截取後,通過以URL方式傳送到作者指定的地址中。
行為分析
本地行為
1、檔案運行後會釋放以下檔案:
%system32%\vlhxaklo.sys 520 位元組
%system32%\np3wod.sys 23,040 位元組
%system32%\dehxaklo.exe 16,255 位元組
輔助對象
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{14698742-2059-3025-9058-954023874141}
\InprocServer32]
註冊表值: “@”
類型: REG_SZ
字元串:"C:\WINDOWS\system32\jkhxaklo.dll"
描述:註冊CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Browser Helper Objects
\{14698742-2059-3025-9058-954023874141}]
註冊表值: “@”
類型: REG_SZ
字元串:"jkhxaklo.dll"
描述:系統啟動時使explorer.exe進程自動載入jkhxaklo.dll病毒檔案
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\ShellExecuteHooks
\{14698742-2059-3025-9058-954023874141}
註冊表值:""
類型: REG_SZ
值:"jkhxaklo.dll"
描述: 將病毒檔案的ID號添加到HOOK項中,使explorer.exe
進程自動載入病毒檔案。
3、調用API函式SetFileAttributesA修改病毒檔案屬性,將檔案修改日期修改為
2004-08-08並將屬性修改為隱藏,使用戶無法輕易發現病毒檔案。
4、將jkhxaklo.dll病毒檔案注入到Explorer.exe進程中,遍歷進程查找hx2game.exe
進程名,如找到則調用API函式TerminateProcess將遊戲進程結束。
5、獲取臨時目錄釋放BAT批處理檔案,等待病毒完全載入執行完畢後刪除病毒自身。
病毒jkhxaklo.dll檔案的行為:監視QQLogin.exe登入視窗一但發現將密碼用戶名
截取。
網路行為
以URL方式傳送到指定的地址中,回傳格式為:
?act=...&d10=...://./...mibao.asp
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的
位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1 、使用安天防線2008可徹底清除此病毒(推薦),
2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2)強行刪除病毒下載的大量病毒檔案:
%system32%\vlhxaklo.sys 520 位元組
%system32%\np3wod.sys 23,040 位元組
%system32%\dehxaklo.exe 16,255 位元組
(3)恢復病毒修改的註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE
\Classes\CLSID
\{14698742-2059-3025-9058-954023874141}
\InprocServer32]
註冊表值: “@”
類型: REG_SZ
字元串:"C:\WINDOWS\system32\jkhxaklo.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Browser Helper Objects
\{14698742-2059-3025-9058-954023874141}]
註冊表值: “@”
類型: REG_SZ
字元串:"jkhxaklo.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\ShellExecuteHooks
\{14698742-2059-3025-9058-954023874141}
註冊表值:""
類型: REG_SZ
值:"jkhxaklo.dll"
