安全响应·Security
病毒分析报告·Report

Trojan-PSW.Win32.OnLineGames.hzc分析

出处:安天CERT 时间:2007-11-21 15:30

病毒标签:

病毒名称: Trojan-PSW.Win32.OnLineGames.hzc
病毒类型: 木马类
文件 MD5: 464EF24B0ADCAF87552B1D071CBD1D79
公开范围: 完全公开
危害等级: 4
文件长度: 14,495 字节
感染系统: Windows98以上版本

病毒描述:

  该病毒属木马类,其行为是偷取网络游戏天龙八部用户的帐号信息。病毒运行后
%System32%下衍生病毒文件。修改注册表加载系统驱动,修改SPI链,以达到病毒随网
络启动的目的;病毒完全运行后删除自身。该病毒文件在删除病毒文件后,需要对SPI
链进行修复,否则将无法连接网络。
行为分析:

本地行为:

1、文件运行后会释放以下文件:

    %System32%\addrtlhelp.dll         7,375 字节
    %System32%\qdshm.dll            4,160 字节
    
2、新增注册表

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WS2IFSL]
    注册表值: "DisplayName"
    类型: REG_SZ
    值:"Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WS2IFSL]
    注册表值: "ImagePath"
    类型: REG_EXPAND_SZ
    值:"\SystemRoot\System32\drivers\ws2ifsl.sys"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\WinSock2\Parameters\Protocol_Catalog9
    \Catalog_Entries\000000000001]
    注册表值: ""
    类型: REG_SZ
    值:"c:\windows\system32\qdshm.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\WinSock2\Parameters\Protocol_Catalog9
    \Catalog_Entries\000000000002]
    注册表值: ""
    类型: REG_SZ
    值:"c:\windows\system32\qdshm.dll"
    
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                    
    
清除方案:
 

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)下载SPI链修复工具(SPI工具下载)后,删除如下:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
      \Services\WinSock2\Parameters\Protocol_Catalog9
      \Catalog_Entries\000000000001]
      注册表值: ""
      类型: REG_SZ
      值:"c:\windows\system32\qdshm.dll"

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
      \Services\WinSock2\Parameters\Protocol_Catalog9
      \Catalog_Entries\000000000002]
      注册表值: ""
      类型: REG_SZ
      值:"c:\windows\system32\qdshm.dll"
    (2) 重新启动计算机后删除如下病毒文件:
      %System32%\addrtlhelp.dll
      %System32%\qdshm.dll
    (3)修复SPI链:
      运行SPI链修复工具,重新启动计算机
     
    注:删除注册表项之前请先下载SPI链修复工具,
    删除后将导致无法连接网络。重新启动后,可能
    导致资源管理器启动速度过慢,可通过
    “ctrl”+“alt”+“del”键调用任务管理器通
    过“文件->新建任务->浏览”的方式删除相关文件
    和运用SPI链修复工具。
附:
 


点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]