病毒标签:
病毒名称:Trojan-PSW.Win32.OnLineGames.appy
病毒类型:盗号木马
文件 MD5:BB1F7256479AF88B3DF6DB929C51AF55
公开范围:完全公开
危害等级:3
文件长度: 16,255字节
感染系统:Windows98以上版本
开发工具:Microsoft Visual C++ 6.0
加壳类型: Upack0.3.9 beta2s -> Dwing [Overlay]
病毒描述:
引用:
该病毒为QQ华夏2盗号木马,病毒运行之后获取系统目录,在%System32%目录下释放病毒文件:vlhxaklo.sys、jkhxaklo.dll、qbhxaklo.sys,并将自身复制到此目录下命名为:dehxaklo.exe,调用API函数SetFileAttributesA修改病毒文件属性,将文件修改日期修改为2004-08-08并将属性修改为隐藏,使用户无法轻易发现病毒文件,新增注册表项,创建CLSID值,添加到HOOK项启动,将病毒DLL注册为BHO浏览器辅助对象,并将jkhxaklo.dll病毒文件注入到Explorer.exe进程中,遍历进程查找hx2game.exe进程名,如找到则调用API函数TerminateProcess将游戏进程结束,目的使用户再次登陆时以便记录帐号及密码,获取临时目录释放BAT批处理文件,等待病毒完全加载执行完毕后删除病毒自身。
病毒jkhxaklo.dll文件的行为:监视QQLogin.exe登陆窗口一但发现将密码用户名截取后,通过以URL方式发送到作者指定的地址中。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%system32%\vlhxaklo.sys 520 字节
%system32%\np3wod.sys 23,040 字节
%system32%\dehxaklo.exe 16,255 字节
2、新增注册表项,创建CLSID值,添加到HOOK项启动,将病毒DLL注册为BHO浏览器辅助对象:
引用:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{14698742-2059-3025-9058-954023874141}
\InprocServer32]
注册表值: “@”
类型: REG_SZ
字符串:"C:\WINDOWS\system32\jkhxaklo.dll"
描述:注册CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Browser Helper Objects
\{14698742-2059-3025-9058-954023874141}]
注册表值: “@”
类型: REG_SZ
字符串:"jkhxaklo.dll"
描述:系统启动时使explorer.exe进程自动加载jkhxaklo.dll病毒文件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\ShellExecuteHooks
\{14698742-2059-3025-9058-954023874141}
注册表值:""
类型: REG_SZ
值:"jkhxaklo.dll"
描述: 将病毒文件的ID号添加到HOOK项中,使explorer.exe
进程自动加载病毒文件。
3、调用API函数SetFileAttributesA修改病毒文件属性,将文件修改日期修改为2004-08-08并将属性修改为隐藏,使用户无法轻易发现病毒文件。
4、将jkhxaklo.dll病毒文件注入到Explorer.exe进程中,遍历进程查找hx2game.exe进程名,如找到则调用API函数TerminateProcess将游戏进程结束。
5、获取临时目录释放BAT批处理文件,等待病毒完全加载执行完毕后删除病毒自身。病毒jkhxaklo.dll文件的行为:监视QQLogin.exe登陆窗口一但发现将密码用户名截取。
网络行为:
以URL方式发送到指定的地址中,回传格式为:
?act=...&d10=...://./...mibao.asp
注:%System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\LocalSettings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
1、使用
安天防线可彻底清除此病毒(推荐),
点击此处免费下载安天防线。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用
ATOOL进程管理查找Explorer.exe进程模块中的jkhxaklo.dll病毒文件,将其卸载掉,
点击此处下载免费工具Atool。
(2)强行删除病毒下载的大量病毒文件:
引用:
%system32%\vlhxaklo.sys 520 字节
%system32%\np3wod.sys 23,040 字节
%system32%\dehxaklo.exe 16,255 字节
(3)恢复病毒修改的注册表项:
引用:
[HKEY_LOCAL_MACHINE\SOFTWARE
\Classes\CLSID
\{14698742-2059-3025-9058-954023874141}
\InprocServer32]
注册表值: “@”
类型: REG_SZ
字符串:"C:\WINDOWS\system32\jkhxaklo.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Browser Helper Objects
\{14698742-2059-3025-9058-954023874141}]
注册表值: “@”
类型: REG_SZ
字符串:"jkhxaklo.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\ShellExecuteHooks
\{14698742-2059-3025-9058-954023874141}
注册表值:""
类型: REG_SZ
值:"jkhxaklo.dll"
from:
http://blog.sina.com.cn/s/blog_532bf6da0100ae3j.html
[
本帖最后由 depressedboy 于 2008-7-21 21:34 编辑 ]
