安全响应·Security
病毒分析报告·Report

Trojan-PSW.Win32.OnLineGames.kuu分析

出处:安天CERT 时间:2007-12-21 16:20

病毒标签:

病毒名称: Trojan-PSW.Win32.OnLineGames.kuu
病毒类型: 木马类
文件 MD5: D1CA82FD63C7C760CBE43A2520A28E34
公开范围: 完全公开
危害等级: 3
文件长度: 14,703 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi v4.0 - v5.0
加壳类型: Upack 0.3.9 beta2s

病毒描述:

  该病毒属木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身;修改注册
表,将病毒衍生的DLL文件插入到windows应用程序进程中,禁止windows自动更新功能;
该病毒可以盗取用户网络游戏的账号与密码。
行为分析:

本地行为:

1、病毒运行后删除自身,衍生病毒文件:

    %WINDIR%\Fonts\enfeafx.fon
    %system32%\kafyjaz.exe
    %system32%\kafyjcs.dll
    %system32%\kafyjzy.dll
    
2、修改注册表:

    将病毒衍生的DLL文件插入到windows应用程序进程中
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows NT\CurrentVersion\Windows\
    键值: 字串: "AppInit_DLLs "="kafyjzy.dll"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{AB681598-AD5F-BC8C-77DC-748FAC8D3FBA}
    \InprocServer32\@
    键值: 字串: "C:\WINDOWS\system32\kafyjzy.dll"

3、病毒修改注册表,禁止windows自动更新:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    \Microsoft\Windows\WindowsUpdate
    \AU\AUOptions
    值: DWORD: 1 (0x1)
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    \Microsoft\Windows\WindowsUpdate
    \AU\NoAutoUpdate
    值: DWORD: 1 (0x1)

4、病毒衍生的病毒文件kafyjzy.dll插入explorer.exe
  和应级进程中。


网络行为:

    该病毒将盗取的游戏账号与密码发送到以下地址:

    加密前:
    CE382424206A7F7F2727277E27313E343168
    7E333F3D7F242836353E3729257F203F2324
    7E312320
    
    解密后:
    http://www.wa****.com/txfengyu/post.asp
    
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                
    
清除方案:
 

1 、使用安天木马防线可彻底清除此病毒(推荐)。

2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用安天木马防线“进程管理”关闭病毒进程。
    (2)删除病毒文件:
      %WINDIR%\Fonts\enfeafx.fon
      %system32%\kafyjaz.exe
      %system32%\kafyjcs.dll
      %system32%\kafyjzy.dll
    (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
      HKEY_LOCAL_MACHINE\SOFTWARE
      \Microsoft\Windows NT
      \CurrentVersion\Windows\
      键值: 字串: "AppInit_DLLs "="kafyjzy.dll"

      HKEY_LOCAL_MACHINE\SOFTWARE
      \Classes\CLSID\{AB681598-AD5F-BC8C
      -77DC-748FAC8D3FBA}\InprocServer32\@
      键值: 字串: "C:\WINDOWS\system32\kafyjzy.dll"

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies
      \Microsoft\Windows\WindowsUpdate
      \AU\AUOptions
      值: DWORD: 1 (0x1)

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies
      \Microsoft\Windows\WindowsUpdate
      \AU\NoAutoUpdate
      值: DWORD: 1 (0x1)
附:
 


点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]