Trojan/Win32.Agent.dczu[Stealer]分析

病毒标签

病毒名称： Trojan/Win32.Agent.dczu[Stealer]
病毒类型： 木马
文件 MD5： 8BCDC5CD75B5A2C8C7074BFBA4774899
公开范围： 完全公开
危害等级： 3
文件长度： 45,488 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0

病毒描述

    该恶意代码文件为魔兽世界游戏盗号木马，病毒运行后判断注册表内是否存在要查询的键值，遍历进程查找wow.exe进程，如找到则遍历进程先查找avp.exe如果找不到则查找KVMonXP.exe进程，如果找到avp.exe后休眠2000ms后判断自身文件进程是否是临时目录下的TW9454.tmp路径文件，如不是则将自身移动到临时目录下并命名为TW9454.tmp，之后退出，如果找到KVMonXP.exe进程后试图拷贝%System32%目录下的lpk.dll命名为syslpk.dll后将病毒自身替换为lpk.dll文件（未成功失败），伪装成系统DLL文件来躲避安全软件的查杀，如果2个进程都找不到则衍生病毒DLL文件直接到临时目录下命名为wfsjowfdsaw.dll，并动态加载该病毒DLL文件，通过病毒DLL文件安装消息钩子截取游戏账号密码，试图将病毒DLL文件注入到所有进程中，并将自身拷贝到临时目录下并命名为TW9454.tmp，将截图到的账号信息以URL方式发送到作者指定的地址中。

行为分析-本地行为

1、文件运行后会释放以下文件
%Temp%\wfsjowfdsaw.dll （找到avp.exe、KVMonXP.exe进程则不衍生）
%Temp%\TW9454.tmp

2、遍历进程查找wow.exe进程，如找到则遍历进程先查找avp.exe如果找不到则查找KVMonXP.exe进程，如果找到avp.exe后休眠2000ms后判断自身文件进程是否是临时目录下的TW9454.tmp路径文件，如不是则将自身移动到临时目录下并命名为TW9454.tmp，之后退出。

3、如果找到KVMonXP.exe进程后试图拷贝%System32%目录下的lpk.dll命名为syslpk.dll后将病毒自身替换为lpk.dll文件（未成功失败），伪装成系统DLL文件来躲避安全软件的查杀，如果2个进程都找不到则衍生病毒DLL文件直接到临时目录下命名为wfsjowfdsaw.dll，并动态加载该病毒DLL文件，通过病毒DLL文件安装消息钩子截取游戏账号密码，试图将病毒DLL文件注入到所有进程中。

行为分析-网络行为

将截取到的游戏账户信息以ULR方式通过以下参数回传到作者地址中
/2postmb.asp?action=ok&u=&p=&9c=&mbh=&s=&dj=&jb&js=

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

清除方案

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiyfx.com/download/atool.zip)。
（1）使用ATOOL进程管理查找smss.exe、csrss.exe、winlogon.exe进程除外的所有进程模块中的wfsjowfdsaw.dll病毒文件，将其卸载掉。

（2）删除病毒文件
%Temp%\wfsjowfdsaw.dll （找到avp.exe、KVMonXP.exe进程则不衍生）
%Temp%\TW9454.tmp