病毒标签
病毒名称: Trojan-PSW.Win32.OnLineGames.appy
病毒类型: 盗号木马
文件 MD5: BB1F7256479AF88B3DF6DB929C51AF55
公开范围: 完全公开
危害等级: 3
文件长度: 16,255 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: Upack 0.3.9 beta2s -> Dwing [Overlay]
病毒描述
该病毒为QQ华夏2盗号木马,病毒运行之后获取系统目录,在%System32%目录下释放病毒文件:vlhxaklo.sys、jkhxaklo.dll、qbhxaklo.sys,并将自身复制到此目录下命名为:dehxaklo.exe,调用API函数SetFileAttributesA修改病毒文件属性,将文件修改日期修改为2004-08-08并将属性修改为隐藏,使用户无法轻易发现病毒文件,新增注册表项,创建CLSID值,添加到HOOK项启动,将病毒DLL注册为BHO 浏览器辅助对象,并将jkhxaklo.dll病毒文件注入到Explorer.exe进程中,遍历进程查找hx2game.exe进程名,如找到则调用API函数TerminateProcess将游戏进程结束,目的使用户再次登陆时以便记录帐号及密码,获取临时目录释放BAT批处理文件,等待病毒完全加载执行完毕后删除病毒自身。病毒jkhxaklo.dll文件的行为:监视QQLogin.exe登陆窗口一但发现将密码用户名截取后,通过以URL方式发送到作者指定的地址中。
行为分析-本地行为
1、文件运行后会释放以下文件:
%system32%\vlhxaklo.sys 520 字节
%system32%\np3wod.sys 23,040 字节
%system32%\dehxaklo.exe 16,255 字节
2、新增注册表项,创建CLSID值,添加到HOOK项启动,将病毒DLL注册为BHO浏览器辅助对象:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{14698742-2059-3025-9058-954023874141}\InprocServer32]
注册表值: “@”
类型: REG_SZ
字符串:"C:\WINDOWS\system32\jkhxaklo.dll"
描述:注册CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14698742-2059-3025-9058-954023874141}]
注册表值: “@”
类型: REG_SZ
字符串:"jkhxaklo.dll"
描述:系统启动时使explorer.exe进程自动加载jkhxaklo.dll病毒文件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{14698742-2059-3025-9058-954023874141}
注册表值:""
类型: REG_SZ
值:"jkhxaklo.dll"
描述: 将病毒文件的ID号添加到HOOK项中,使explorer.exe进程自动加载病毒文件。
3、调用API函数SetFileAttributesA修改病毒文件属性,将文件修改日期修改为2004-08-08并将属性修改为隐藏,使用户无法轻易发现病毒文件。
4、将jkhxaklo.dll病毒文件注入到Explorer.exe进程中,遍历进程查找hx2game.exe进程名,如找到则调用API函数TerminateProcess将游戏进程结束。
5、获取临时目录释放BAT批处理文件,等待病毒完全加载执行完毕后删除病毒自身。病毒jkhxaklo.dll文件的行为:监视QQLogin.exe登陆窗口一但发现将密码用户名截取。
行为分析-网络行为
以URL方式发送到指定的地址中,回传格式为:?act=...&d10=...://./...mibao.asp
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL进程管理查找Explorer.exe进程模块中的:
jkhxaklo.dll病毒文件,将其卸载掉。
(2)强行删除病毒下载的大量病毒文件:
%system32%\vlhxaklo.sys 520 字节
%system32%\np3wod.sys 23,040 字节
%system32%\dehxaklo.exe 16,255 字节
(3)恢复病毒修改的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{14698742-2059-3025-9058-954023874141}\InprocServer32]
注册表值: “@”
类型: REG_SZ
字符串: "C:\WINDOWS\system32\jkhxaklo.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14698742-2059-3025-9058-954023874141}]
注册表值: “@”
类型: REG_SZ
字符串: "jkhxaklo.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{14698742-2059-3025-9058-954023874141}
注册表值: ""
类型: REG_SZ
值: "jkhxaklo.dll"
