Skip to content

7月新病毒-Trojan/PSW.OnLineGames.civl

2012-07-25 22:13:44   来源:华军科技数据恢复

病毒描述:

病毒名称    :  Trojan/PSW.OnLineGames.civl
文件MD5     :  2ca010b32efe6404b856734bba028d8e
文件大小    :  41,560字节
编写环境    :  VC++6.0
是否加壳    :  是
 
 
文档公开级别 : 完全公开
 
 
病毒执行体描述:
 
    Trojan/PSW.OnLineGames.civl 是一款专门盗取网络游戏“征途2”账号的病毒,运行时会在系统的指定目录释放DLL文件,会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。
 
 
病毒行为流程分析:
 
对病毒主程序的分析:
一. 查找名为“65”的资源,通过资源释放的方式在%USERPROFILE%\Local Settings\Temp\目录下释放恶意DLL组件zt2.tmp,然后将zt2.tmp进行复制命名为zt2.tmp1。
二.在后台调用rundll32.exe来执行zt2.tmp1的安装。
三.在%USERPROFILE%\Local Settings\Temp\目录下创建批处理程序del.bat来进行自删除。
 
 
对恶意DLL组件zt2.tmp1的分析:
 
执行安装的导出函数St:通过创建进程快照的方式来查找360安全卫士的进程360tray.exe,如果不存在360tray.exe,把自身复制到被感染计算机的%SystemRoot%\目录下,重新命名为sys.tmp,在%USERPROFILE%\Local Settings\Temp\目录下创建a.reg,修改注册表HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs,向其中添加sys.tmp,来达到随系统开机启动的目的;如果存在360tray.exe,则创建进程快照来查找游戏运行时的进程zhengtu.dat,通过使用TerminateProcess来结束该进程,然后把自身复制到游戏安装目录下,重新命名为ecae.gs。
DLL程序zt2.tmp1安装完成后,首先判断是否注入到进程patchupdate.exe中,如果不是,说明已经注入到游戏主程序zhengtu.dat中,会读取配置文件config.ini来获得相关信息,然后创建两个线程,通过Hook相关函数和内存截取等方式来进行盗号;如果注入到进程patchupdate.exe中,会查找“游戏安装目录\data”目录下是否存在CheckMalicious.exe和trojankiller.exe,通过创建进程快照并使用TerminateProcess来结束以上两个进程,然后删除CheckMalicious.exe和trojankiller.exe。
 
程序运行释放的文件:
%USERPROFILE%\ Local Settings\Temp\zt2.tmp
%USERPROFILE%\ Local Settings\Temp\zt2.tmp1
%SystemRoot%\sys.tmp
%USERPROFILE%\ Local Settings\Temp\a.reg
%USERPROFILE%\ Local Settings\Temp\del.bat
 
修改注册表:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
 
病毒技术要点:
 
Trojan/PSW.OnLineGames.civl病毒是一款典型的网络游戏盗号木马,在与杀软对抗的过程中未用到驱动级操作,在应用层进行了很好的策略操作。在保证其网络开机自动运行的情况下,对机器本身并无其他操作,行为上看无明显病毒特征。
修改注册表达到恶意DLL的自启动暴露了其是一个病毒;通过Hook相关函数和内存截取的方法来进行盗号。
 
病毒清理流程:
 
进入安全模式
删除%USERPROFILE%\ Local Settings\Temp\目录下的zt2.tmp、zt2.tmp1、a.reg。
删除%SystemRoot%\目录下的sys.tmp。
打开注册表,找到HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs,删除其中数据sys.tmp。
 
重新启动系统。

Back To Top
Search