Infostealer.Gampass 1.952木马分析查杀

一、病毒标签：

病毒名称： Trojan-PSW.Win32.OnLineGames.dpb

病毒类型：木马

文件 MD5：410fd81d9cee4c82529c37bd4fcbc927

公开范围：完全公开

危害等级： B

文件长度：13.7 KB (14,101 字节)

开发工具： DELPHI

加壳类型： Upack 0.3.9 beta2s

命名对照：

江民杀毒 TrojanDropper.Agent.dkk 0.819

熊猫卫士 Trj/Lineage.BZE 4.248

瑞星 Trojan.PSW.Win32.XYOnline.jq 3.808

赛门铁克 Infostealer.Gampass 1.952

趋势 TSPY_ONLINEG.IMA 0.036

迈克菲 New Malware.n 0.919

金山毒霸 Win32.Troj.OnlineGames.dp.81920

二、病毒描述：

该病毒为盗取游戏账号的木马，释放DLL程序远程注入所有非关键系统进程进行HOOK，在注册表添加ShellExecuteHooks进行随机启动，并关闭WINDOWS防火墙。最近在网络大范围传播。

三、行为分析

1．病毒运行后释放：

c:\WINDOWS\system32\kvmxacf.dll

Date: 10-3-2007 10:10 PM

Size: 140 bytes

c:\WINDOWS\system32\kvmxdis.exe

Date: 10-3-2007 10:07 PM

Size: 14,101 bytes

c:\WINDOWS\system32\kvmxdma.dll

Date: 8-4-2004 10:09 PM

Size: 22,116 bytes

c:\WINDOWS\Fonts\armease.fon

Date: 10-3-2007 10:09 PM

Size: 111 bytes

c:\WINDOWS\Fonts\armease.fon这个文件是隐藏在系统字体库文件夹里的文件。内容为：

-------

[Send]

Url1=45B3AFAFABE1F4F4ACACACF5ACB4BAB2BDBAB5BCBDBAB5BCF5B8B4B6

F4A2BAB5BCA3B2B4B5BCEDF4ABB4A8AFF5BAA8AB

应该是经过加密的一段作为接收密码信息的地址，现在没有直接写在病毒体内了。

2．注册表改动

增加启动项目：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs"

Old type: REG_SZ

New type: REG_SZ

Old data:

New data: kvmxdma.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks "{4D47B341-43DF-4563-753F-345FFA3157D4}"

Type: REG_SZ

Data: kvmxdma.dll

关闭防火墙：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile "EnableFirewall"

Type: REG_DWORD

Data: 00, 00, 00, 00

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "EnableFirewall"

Type: REG_DWORD

Data: 00, 00, 00, 00

关闭WINDOWS更新：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "AUOptions"

Type: REG_DWORD

Data: 01, 00, 00, 00

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "NoAutoUpdate"

Type: REG_DWORD

Data: 01, 00, 00, 00

3．将C:\WINDOWS\system32\kvmxdma.dll注入所有非关键系统进程并进行WH_KEYBOARD和WH_MOUSE，WH_GETMESSAGE等挂钩来监视键盘，鼠标和信息队列。

清除方案：

1．删除文件：

用强制删除工具[建议使用MJ写的FileKill360]删除下面列出的文件并免疫。

c:\WINDOWS\Fonts\armease.fon

c:\WINDOWS\system32\kvmxdma.dll

c:\WINDOWS\system32\kvmxdis.exe

c:\WINDOWS\system32\kvmxacf.dll

2．删除启动项目[建议使用SRENG查看并删除]：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

{AppInit_DLLs}{kvmxdma.dll} []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks]

{{4D47B341-43DF-4563-753F-345FFA3157D4}}{C:\WINDOWS\system32\kvmxdma.dll} []

建议清除不掉病毒的用户使用专杀程序进行清除和免疫。

【病毒风向标精英组：专杀工具下载】

【原文地址：http://secure.itdigger.com/2007/10/04/110719359.htm】

www.newjian.com

Tags：Infostealer.Gampass 1.952 Trojan-PSW.Win32.OnLineGames.dpb来源：

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。