Trojan/Win32.OnLineGames.vugj[GameThief]分析 - 安天[病毒分析报告]

    网络信息安全是一个博大精深的技术体系，安天将自己的注意力专注于主要矛盾，即计算机网络病毒问题。
    根据有关机构统计，全球超过80%的安全事件均与病毒有关，网络病毒是信息社会面临的主要安全挑战之一，因此，安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合，形成了自身的产品内涵。


	当前位置：首页 - 安全响应中心 -> 病毒分析报告

Trojan/Win32.OnLineGames.vugj[GameThief]分析
出处：安天实验室时间：2009年11月3日

病毒标签
	病毒名称： Trojan/Win32.OnLineGames.vugj[GameThief] 病毒类型：木马文件 MD5： 9CD5AA5BF091F79428EAF466EE63ED5C 公开范围：完全公开危害等级： 3 文件长度： 182,832 字节感染系统： Windows98以上版本开发工具： Microsoft Visual C++ 6.0 加壳类型： VMProtect
病毒描述
	该恶意代码文件为雅虎奇摩盗号木马类，该木马程序采用了加密处理，目的为了躲避安全软件对其查杀，病毒运行后创建批处理文件到病毒原文件所在目录下，来修改系统时间将系统时间设置为2004年，等待15000MS后再次创建批处理将系统时间设置回当前正确的系统时间，目的为了使安全软件过期失效从而对其无法主动监控查杀15000MS后病毒文件足以创建完毕，创建病毒DLL并拷贝病毒自身文件到Windir\Help目录下，并将属性设置为隐藏，试图将病毒DLL文件注入到所有进程中，病毒文件创建完后，释放批处理文件用于删除病毒原文件体，遍历“yahoobuddymain”窗口，利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号等信息，并在后台将窃得的信息发送到作者指定的收信地址。
行为分析-本地行为
	1、文件运行后会释放以下文件 Windir\Help\F3C74E3FA248.dll Windir\Help\F3C74E3FA248.exe 2、新增注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32\@ 值: 字符串: "C:\WINDOWS\HELP\F3C74E3FA248.dll" 描述：添加病毒注册表CLSID值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1DBD6574-D6D0-4782-94C3-69619E719765} 值: 字符串: "" 描述：添加病毒HOOK启动项 3、木马程序采用了加密处理，目的为了躲避安全软件对其查杀，病毒运行后创建批处理文件2.bat到病毒原文件所在目录下，来修改系统时间将系统时间设置为2004年代码为： [][]][[e][][][][] date 2004-11-2 777777777777777777 del %0 等待15000MS后再次创建批处理文件2.bat将系统时间设置回当前正确的系统时间代码为： -99999999999rwe;b date 2009-11-2 rgsdfgsdfggegergerg del %0 目的为了使安全软件过期失效从而对其无法主动监控查杀。 4、试图将病毒DLL文件注入到所有进程中，病毒文件创建完后，释放批处理文件用于删除病毒原文件体，遍历“yahoobuddymain”窗口，利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号等信息。
行为分析-网络行为
	将截取到账户信息以ULR方式发送到作者地址中 http://www.163.com/mail/upfilesg.asp 注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。 %Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量 %Windir%\ WINDODWS所在目录 %DriveLetter%\ 逻辑驱动器根目录 %ProgramFiles%\ 系统程序默认安装目录 %HomeDrive% = C:\ 当前启动的系统的所在分区 %Documents and Settings%\ 当前用户文档根目录

清除方案
	1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool管理工具，请点击下载(http://www.antiyfx.com/download/atool.zip)。（1）使用ATOOL管理工具，进程管理卸载被注入的病毒模块F3C74E3FA248.dll。（2）删除病毒文件 Windir\Help\F3C74E3FA248.dll Windir\Help\F3C74E3FA248.exe （3）删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32\@ 值: 字符串: "C:\WINDOWS\HELP\F3C74E3FA248.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1DBD6574-D6D0-4782-94C3-69619E719765} 值: 字符串: ""