一、 病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.dpb
病毒类型: 木马
文件 MD5:410fd81d9cee4c82529c37bd4fcbc927
公开范围: 完全公开
危害等级: B
文件长度:13.7 KB (14,101 字节)
开发工具: DELPHI
加壳类型: Upack 0.3.9 beta2s
命名对照:
江民杀毒 TrojanDropper.Agent.dkk 0.819
熊猫卫士 Trj/Lineage.BZE 4.248
瑞星 Trojan.PSW.Win32.XYOnline.jq 3.808
赛门铁克 Infostealer.Gampass 1.952
趋势 TSPY_ONLINEG.IMA 0.036
迈克菲 New Malware.n 0.919
金山毒霸 Win32.Troj.OnlineGames.dp.81920
二、病毒描述:
该病毒为盗取游戏账号的木马,释放DLL程序远程注入所有非关键系统进程进行HOOK,在注册表添加ShellExecuteHooks进行随机启动,并关闭WINDOWS防火墙。最近在网络大范围传播。
三、行为分析
1.病毒运行后释放:
c:\WINDOWS\system32\kvmxacf.dll
Date: 10-3-2007 10:10 PM
Size: 140 bytes
c:\WINDOWS\system32\kvmxdis.exe
Date: 10-3-2007 10:07 PM
Size: 14,101 bytes
c:\WINDOWS\system32\kvmxdma.dll
Date: 8-4-2004 10:09 PM
Size: 22,116 bytes
c:\WINDOWS\Fonts\armease.fon
Date: 10-3-2007 10:09 PM
Size: 111 bytes
c:\WINDOWS\Fonts\armease.fon这个文件是隐藏在系统字体库文件夹里的文件。内容为:
-------
[Send]
Url1=45B3AFAFABE1F4F4ACACACF5ACB4BAB2BDBAB5BCBDBAB5BCF5B8B4B6
F4A2BAB5BCA3B2B4B5BCEDF4ABB4A8AFF5BAA8AB
应该是经过加密的一段作为接收密码信息的地址,现在没有直接写在病毒体内了。
2.注册表改动
增加启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs"
Old type: REG_SZ
New type: REG_SZ
Old data:
New data: kvmxdma.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks "{4D47B341-43DF-4563-753F-345FFA3157D4}"
Type: REG_SZ
Data: kvmxdma.dll
关闭防火墙:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile "EnableFirewall"
Type: REG_DWORD
Data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "EnableFirewall"
Type: REG_DWORD
Data: 00, 00, 00, 00
关闭WINDOWS更新:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "AUOptions"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "NoAutoUpdate"
Type: REG_DWORD
Data: 01, 00, 00, 00
3.将C:\WINDOWS\system32\kvmxdma.dll注入所有非关键系统进程并进行WH_KEYBOARD和WH_MOUSE,WH_GETMESSAGE等挂钩来监视键盘,鼠标和信息队列。
清除方案:
1. 删除文件:
用强制删除工具[建议使用MJ写的FileKill360]删除下面列出的文件并免疫。
c:\WINDOWS\Fonts\armease.fon
c:\WINDOWS\system32\kvmxdma.dll
c:\WINDOWS\system32\kvmxdis.exe
c:\WINDOWS\system32\kvmxacf.dll
2. 删除启动项目[建议使用SRENG查看并删除]:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kvmxdma.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{{4D47B341-43DF-4563-753F-345FFA3157D4}}{C:\WINDOWS\system32\kvmxdma.dll} []
建议清除不掉病毒的用户使用专杀程序进行清除和免疫。
【病毒风向标精英组:专杀工具下载】
【原文地址:http://secure.itdigger.com/2007/10/04/110719359.htm】
www.newjian.com
Tags:Infostealer.Gampass 1.952 Trojan-PSW.Win32.OnLineGames.dpb来源:
联系客服