病毒防护

病毒描述：

病毒名称 : Trojan/PSW.OnLineGames.civl 文件MD5 : 2ca010b32efe6404b856734bba028d8e 文件大小 : 41,560字节 编写环境 : VC++6.0 是否加壳 : 是 文档公开级别 ： 完全公开 病毒执行体描述： Trojan/PSW.OnLineGames.civl 是一款专门盗取网络游戏“征途2”账号的病毒，运行时会在系统的指定目录释放DLL文件，会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。 病毒行为流程分析: 对病毒主程序的分析： 一． 查找名为“65”的资源，通过资源释放的方式在%USERPROFILE%\Local Settings\Temp\目录下释放恶意DLL组件zt2.tmp，然后将zt2.tmp进行复制命名为zt2.tmp1。 二．在后台调用rundll32.exe来执行zt2.tmp1的安装。 三．在%USERPROFILE%\Local Settings\Temp\目录下创建批处理程序del.bat来进行自删除。 对恶意DLL组件zt2.tmp1的分析： 执行安装的导出函数St：通过创建进程快照的方式来查找360安全卫士的进程360tray.exe，如果不存在360tray.exe，把自身复制到被感染计算机的%SystemRoot%\目录下，重新命名为sys.tmp，在%USERPROFILE%\Local Settings\Temp\目录下创建a.reg，修改注册表HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs，向其中添加sys.tmp，来达到随系统开机启动的目的；如果存在360tray.exe，则创建进程快照来查找游戏运行时的进程zhengtu.dat，通过使用TerminateProcess来结束该进程，然后把自身复制到游戏安装目录下，重新命名为ecae.gs。 DLL程序zt2.tmp1安装完成后，首先判断是否注入到进程patchupdate.exe中，如果不是，说明已经注入到游戏主程序zhengtu.dat中，会读取配置文件config.ini来获得相关信息，然后创建两个线程，通过Hook相关函数和内存截取等方式来进行盗号；如果注入到进程patchupdate.exe中，会查找“游戏安装目录\data”目录下是否存在CheckMalicious.exe和trojankiller.exe，通过创建进程快照并使用TerminateProcess来结束以上两个进程，然后删除CheckMalicious.exe和trojankiller.exe。 程序运行释放的文件： %USERPROFILE%\ Local Settings\Temp\zt2.tmp %USERPROFILE%\ Local Settings\Temp\zt2.tmp1 %SystemRoot%\sys.tmp %USERPROFILE%\ Local Settings\Temp\a.reg %USERPROFILE%\ Local Settings\Temp\del.bat 修改注册表： HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs 病毒技术要点： Trojan/PSW.OnLineGames.civl病毒是一款典型的网络游戏盗号木马，在与杀软对抗的过程中未用到驱动级操作，在应用层进行了很好的策略操作。在保证其网络开机自动运行的情况下，对机器本身并无其他操作，行为上看无明显病毒特征。 修改注册表达到恶意DLL的自启动暴露了其是一个病毒；通过Hook相关函数和内存截取的方法来进行盗号。 病毒清理流程： 进入安全模式 删除%USERPROFILE%\ Local Settings\Temp\目录下的zt2.tmp、zt2.tmp1、a.reg。 删除%SystemRoot%\目录下的sys.tmp。 打开注册表，找到HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs，删除其中数据sys.tmp。 重新启动系统。