Trojan-PSW.Win32.OnLineGames.aocg
病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.aocg
病毒类型: 盗号木马
文件 MD5: 1754E55800F753F51F69F7F21183D5AB
公开范围: 完全公开
危害等级: 4
文件长度: 25,728 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
病毒描述:
该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,在%System32%目录
下创建病毒文件ajfcaa.exe(6位随机病毒名),并加载创建该病毒进程,遍历进程查找
是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;
如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用
LoadLibraryA函数加载SFC.DLL文件。将%System32%\\drivers\\目录下的beep.sys文件
删除,并创建一个同名的文件,创建dat文件到临时目录,创建注册表病毒服务,等待加
载完毕后将dat文件删除,添加注册表映像劫持,劫持多款安全软件,使系统安全性降低,
利用ZwQuerySystemInformation()枚举内核模块,遍历进程查找:DrvAnti.exe(驱动
防火墙)、csrss.exe(系统进程),如找到则强行结束上2个进程,病毒运行后自我删
除,连接网络读取列表下载大量恶意文件到本地运行,经分析下载的文件多为盗号木马,
给用户清理带来极大的不便!
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%System32%\\ajfcaa.exe 13,028 字节
2、创建注册表病毒服务:
[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001
\\Enum\\Root\\LEGACY_GDABR\\0000\\Service]
注册表值: "gdabr"
类型: REG_SZ
值:"Gdabr"
描述: 服务描述
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet
\\Services\\Gdabr\\Description]
注册表值: "DisplayName"
类型: REG_SZ
值:"Gdabr"
描述: 服务描述
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet
\\Services\\Gdabr\\DisplayName]
注册表值: "DisplayName"
类型: REG_SZ
值:" Gdabr"
描述: 服务名称
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet
\\Services\\Gdabr\\ErrorControl]
注册表值: "ErrorControl"
类型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服务控制
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet
\\Services\\Gdabr\\ImagePath]
注册表值: "ImagePath"
类型: REG_SZ
值:"\\??\\ C:\\DOCUME~1\\a\\LOCALS~1\\Temp\\ _temp.dat"
描述: 服务映像文件的启动路径
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet
\\Services\\Gdabr\\Start]
注册表值: "Start"
类型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服务的启动方式,手动
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet
\\Services\\Gdabr\\Type]
注册表值: "Type"
类型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服务类型
3、映像劫持多款安全软件:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft
\\Windows NT\\CurrentVersion
\\Image File Execution Options\\被映像劫持的文件名称]
新建键值: "Debugger"
类型: REG_SZ
字符串: “ntsd -d”
劫持文件名列表:
360rpt.exe、360safebox.exe、360tray.exe、adam.exe、
AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、
FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、
idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、
KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、
KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、kpfwsvc.exe、、KPPMain.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KVFW.EXE、
KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、
kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、
mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、nod32krn.exe、
NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、
qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、rav.exe、
RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、
ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、
FYFireWall.exe、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、
rfwstub.exe、rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、
safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、
SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、
TrojanDetector.exe、Trojanwall.exe、、TrojDie.kxp、
UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
webscanx.exe、WinDbg.exe、WoptiClean.exe、OllyDBG.EXE、
OllyICE.EXE
4、遍历进程查找是否存在一下进程名:GuardField.exe、conime.exe、wuauclt.exe、
spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以
上进程。
5、调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\\drivers\\目录下的
beep.sys文件删除,并创建一个同名的文件作为病毒服务,创建dat文件到
C:\\DOCUME~1\\a\\LOCALS~1\\Temp临时目录下,创建注册表病毒服务,等待加载完
毕后将dat文件删除。
6、利用ZwQuerySystemInformation()枚举内核模块,遍历进程查找:DrvAnti.exe
(驱动防火墙)、csrss.exe(系统进程),如找到则强行结以上2个进程。
网络行为:
协议:TCP
端口:80
连接服务器名:http://ccc.awer****.cn/txt.txt
IP地址:121.10.113.***
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
http://cao.gm****.com/cao/aa1.exe
http://cao.gm****.com/cao/aa2.exe
http://cao.gm****.com/cao/aa3.exe
http://cao.gm****.com/cao/aa4.exe
http://cao.gm****.com/cao/aa5.exe
http://cao.gm****.com/cao/aa6.exe
http://cao1.gm****.com/cao/aa7.exe
http://cao1.gm****.com/cao/aa8.exe
http://cao1.gm****.com/cao/aa9.exe
http://cao1.gm****.com/cao/aa10.exe
http://cao1.gm****.com/cao/aa11.exe
http://cao1.gm****.com/cao/aa12.exe
http://cao2.gm****.com/cao/aa13.exe
http://cao2.gm****.com/cao/aa14.exe
http://cao2.gm****.com/cao/aa15.exe
http://cao2.gm****.com/cao/aa16.exe
http://cao2.gm****.com/cao/aa17.exe
http://cao2.gm****.com/cao/aa18.exe
http://cao3.gm****.com/cao/aa19.exe
http://cao3.gm****.com/cao/aa20.exe
http://cao3.gm****.com/cao/aa21.exe
http://cao3.gm****.com/cao/aa22.exe
http://cao3.gm****.com/cao/aa23.exe
http://cao3.gm****.com/cao/aa24.exe
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \\Documents and Settings
\\当前用户\\Local Settings\\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\\Winnt\\System32
windows95/98/me中默认的安装路径是C:\\Windows\\System
windowsXP中默认的安装路径是C:\\Windows\\System32