病毒名称： Trojan-PSW.Win32.OnLineGames.bfj
中文名称： 游戏盗号器
病毒类型： 木马类
文件 MD5： E32A875BF518A9EF35CB8BAAAEA6DEE2
公开范围： 完全公开
危害等级： 4
文件长度： 脱壳前24,938 字节，脱壳后147,456 字节
感染系统： Win98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： Upack 0.3.9 beta2s -> Dwing
命名对照： AVG 　　　　　[PSW.OnlineGames.HAX]
　　　　　 BitDefender 　[Generic.PWStealer.B01E251D]
　　　　　 IKARUS 　　　 [Trojan-Dropper.Win32.Agent.ane]

　　该病毒运行后衍生病毒副本及其功能文件到系统目录下，修改完美世界、武林外传
和诛仙游戏的客户端程序elementclient.exe 名为elemontclient.exe，并设置其属性为
隐藏，用病毒副本替换elementclient.exe，以达到启动病毒体的目的。使用Hook方法注
入病毒 dll 文件到进程中，查找名称为 Element Client 登陆窗口，盗取用户敏感信息
发送出去。

本地行为：

1、文件运行后会释放以下文件：

　　　　%WinDir%\kulionzx.dll 　　　　　　　　　　　　　 24,938 字节
　　　　%WinDir%\kulionzx.exe 　　　　　　　　　　　　　 28,160 字节

2、连接网络发送信息：

　　　　209.162.178.**:80（仅适用于本样本）
　　　　发送信息参数：
　　　　User= 用户名 &pass = 密码 & ser = 服务器名 _ 网络连接 &cangku =
　　　　仓库密码&beizhu = 备注 &rw = 等级 &pcname = 计算机名

3、此样本在病毒程序API调用中留有以下参数：

　　　　 DAHESHANGGENGXIN

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)使用安天木马防线“进程管理”关闭病毒进程：
　 　 　 　 elementclient.exe
　 　 (2)重新启动计算机。　 　 　 　 　 　 　 　 　
　 　 (3)删除病毒文件：
　 　 　 　 %WinDir%\kulionzx.dll
　 　 　 　 %WinDir%\kulionzx.exe

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net