Trojan/Win32.OnLineGames.bkzg[GameThief]

病毒标签病毒名称： Trojan/Win32.OnLineGames.bkzg[GameThief]

病毒类型： 木马

文件 MD5： D8FA90F2A769C994081321D805E91C8E

公开范围： 完全公开

危害等级： 3

文件长度： 15,301 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： FSG 2.0

病毒描述该病毒为盗取传奇世界游戏账号类木马，病毒运行后获取随即八位字母，依次为病毒名，以nls为扩展名衍生病毒文件到%Windir%fonts目录下，加载dll文件并调用dll中的功能模块，执行注册dll，修改注册表添加hook项等操作；遍历进程列表，检测进程中调用了woool.dat文件的进程并将之关闭。为命令行创建线程删除病毒本体。Dll文件被加载后重新加载自身，检测360相关进程成并将之关闭。检测传奇世界进程。发现后捕获用户输入，发送到指定的收取页面。

行为分析-本地行为1、文件运行后会释放以下文件

%Windir%Fontsgzcqsj01.dat 42 字节

%Windir%Fontspddwrwks.nls 49,152 字节[8位随机文件名]

2、新增注册表

[HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}InprocServer32]

注册表值: "@"

类型： REG_SZ

值: "C:WINDOWSfontspddwrwks.nls"

描述：为动态链接库文件注册ID

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

注册表值: "{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}"

类型： REG_SZ

值: ""

描述：添加hook用以截获用户的相关信息

行为分析-网络行为收信地址：

http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp

回传参数：

格式1：

http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp?gametype=cqsj&para=%s&%ver=0316&zone=%s&server

=%s&name=%s&password=%s&secopass=%s&nickname=%s&lord=%s&level=%s&money=%u&goldcoin=%u&yb=%u&equipment

=%s&bag=%s&mb=%d&mbtime=%d&hardinfo=%s&norefreshcode=%s

格式2：

http://www.md5ss**.com/CS/B51/05ndisaeas/post.asp?gametype=cqsj&name=%s&password=%s&zone=%s&server

=%s&bankpass=%s&level=%s&mb=%d&norefreshcode=%s

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% = C: 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

清除方案1、使用安天防线可彻底清除此病毒。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 恢复修改的注册表

[HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}InprocServer32]

注册表值: "@"

类型： REG_SZ

值: "C:WINDOWSfontspddwrwks.nls"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

注册表值: "{6BF8912E-DE56-4948-83E8-90D2C3F5EB3E}"

类型： REG_SZ

值: ""

(2) 重新启动计算机，删除病毒文件

%Windir%Fontsgzcqsj01.dat

%Windir%Fontspddwrwks.nls[随即8位文件名]