Trojan/Win32.Magania.cfzz[GameThief]病毒分析及解决方案
病毒描述:
该恶意代码文件为诛仙游戏xx木马,病毒运行后遍历系统目录查找相同文件名找到后删除文件再衍生相同文件名的病毒文件到%system32%目录与%Downloaded Program Files%目录下,防止多个病毒文件产生的冲突,并将病毒文件属性设置为隐藏,调用病毒自定义的函数“JUFndB4pARSJ”模块来提升进程权限,添加注册表病毒的CLSID值、HOOK启动项,删除System32%目录下的verclsid.exe文件,( )病毒运行完毕后使用CMD命令删除自身文件,试图将病毒DLL注入到Explorer.exe进程中、安装消息钩子截取用户账号信息,读取游戏userdata\currentserver.ini配置文件获取用户账户信息后通过URL方式将截取账户信息及截取到得图片发送到作者指定的地址中。
病毒名称: Trojan/Win32.Magania.cfzz[GameThief]
病毒类型: 木马
文件 MD5: 51C99E929F7002318B6B28E0EDFDBE08
公开范围: xx公开
危害等级: 3
文件长度: 27,239 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX
xx方案:
手工xx请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载
(http://www.360anquan.com/BingDuZhuanSha/200906/12560.html)
(1)使用ATOOL管理工具,进程管理卸载被注入的病毒模块SrNRKs5F7Rkv9hp.inf
(2)删除病毒文件
%System32%\z6FVkEF47huPzgaXee.inf
%Downloaded Program Files%\WQKrDGnXQQb3Mgjk.Ttf
(3)删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}
行为分析-网络行为:
将截取到游戏账户信息以ULR方式通过以下参数回传到作者地址中
?a=%s&u=%s&c=%s&mb=%s
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
行为分析-本地行为:
1、文件运行后会释放以下文件
%System32%\z6FVkEF47huPzgaXee.inf
%Downloaded Program Files%\WQKrDGnXQQb3Mgjk.Ttf
2、新增注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf"
描述:添加病毒注册表CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}
值: <值未设置>描述:添加病毒HOOK启动项
3、获取进程ID,删除%System32%目录下的verclsid.exe文件,查找游戏配置文件内"userdata\currentserver.ini匹配字串,匹配以下字串,获取用户所在游戏服务器的相关信息,如找到则安装消息钩子:
.link.zhuxian**.com.cn
.link.wulin2**.cn
.link.w2i**.com.cn
.link.world2**.cn
.link.kdxy**.com
.link.chibi**.com
5060f644-3e01-4775-8435-4609bb690966
4、试图截取含有以下标题的窗口保存为.jpg图片并通过URL方式发送到作者地址中
notepad本、acdsee、图片和传真、光影看看、密保、internet explorer