安全响应·Security
病毒分析报告·Report

Trojan-PSW.Win32.OnLineGames.hwt分析

出处:安天病毒分析组 时间:2008-01-07 16:30

病毒标签:

病毒名称: Trojan-PSW.Win32.OnLineGames.hwt
病毒类型: 木马类
文件 MD5: 3F0F65F3E685CF4C0FE2B95113AB9C05
公开范围: 完全公开
危害等级: 3
文件长度: 15,046 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: Upack 0.3.9 beta2s

病毒描述:

  该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。
修改注册表,添加启动项,以达到随机启动的目的。禁用Windows自动更新与防火墙功
能,以降低系统安全性。以kvdxsima.dll插入到大话西游3进程中进行游戏信息获取并
回传。
行为分析:

本地行为:

1、文件运行后会释放以下文件:

    %WinDir%\Fonts\ardasase.fon     115 字节
    %WinDir%\Fonts\kvdxsicf.dll     117 字节
    %System32%\kvdxsiis.exe       15,046字节
    %System32%\kvdxsima.dll       23,916字节

    删除系统verclsid.exe文件,该文件会在WindowsShell
    或Windows资源管理器实例化任何外壳扩展之前对这些扩展
    进行验证:
    %System32%\verclsid.exe       28,672字节
    
2、新建注册表:

    [HKEY_LOCAL_MACHINE\SOFTWARE
    \Classes\CLSID\{9D561258-45F3-A451
    -F908-A258458226D9}\InprocServer32]
    注册表值:"@"
    类型: REG_SZ
    值: "C:\WINDOWS\system32\kvdxsima.dll"
    描述:添加启动项,以达到随机启动的目的

    [HKEY_LOCAL_MACHINE\SOFTWARE
    \Microsoft\Windows\CurrentVersion
    \Explorer\ShellExecuteHooks]
    注册表值:"{9D561258-45F3-A451-F908-A258458226D9}"
    类型: REG_SZ
    值: "kvdxsima.dll"
    描述:添加启动项,以达到随机启动的目的

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    \Microsoft\Windows\WindowsUpdate\AU]
    注册表值:"NoAutoUpdate "
    类型: DWORD
    值: 1 (0x1)
    描述:关闭自动更新

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\SharedAccess\Parameters
    \FirewallPolicy\StandardProfile]
    注册表值:" EnableFirewall"
    类型: DWORD
    值: 0 (0)
    描述:禁用Windows防火墙    

3、将kvdxsima.dll插入到EXPLORER.EXE进程和其它应用程序进程中,
  进行键盘记录,信息收集;并监视是否有大话西游3进程,如有则将
  kvdxsima.dll插入进程中,以盗取其游戏信息。

4、通过恶意网站、其它病毒/木马下载传播;该病毒可以盗取用户大话
  西游3的账号与密码。
    
网络行为:

1、信息收集完成后,便回传收集到的信息,回传Url地址为:

    Url1=http://www.20071****.com/dahua3/ake66666/post.asp
   
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                
    
清除方案:
 

1 、使用安天木马防线可彻底清除此病毒(推荐),
   请到安天网站下载:www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
   推荐使用ATool(安天安全管理工具),
   ATool下载地址:www.antiy.com或
   http://www.antiy.com/download/index.htm 。
    (1)使用安天木马防线或ATool中的“进程管理”
      卸载插入到EXPLORER.EXE进程和其它应用程序
      进程中的kvdxsima.dll
    (2)强行删除病毒文件:
      %WinDir%\Fonts\ardasase.fon 115 字节
      %WinDir%\Fonts\kvdxsicf.dll 117 字节
      %System32%\kvdxsiis.exe 15,046字节
      %System32%\kvdxsima.dll 23,916字节
    (3)删除病毒添加的注册表项:
      [HKEY_LOCAL_MACHINE\SOFTWARE
      \Classes\CLSID\{9D561258-45F3-A451
      -F908-A258458226D9}\InprocServer32]
      注册表值:"@"
      类型: REG_SZ
      值: "C:\WINDOWS\system32\kvdxsima.dll"
      [HKEY_LOCAL_MACHINE\SOFTWARE
      \Microsoft\Windows\CurrentVersion
      \Explorer\ShellExecuteHooks]
      注册表值:"{9D561258-45F3-A451-F908-A258458226D9}"
      类型: REG_SZ
      值: "kvdxsima.dll"
      [HKEY_LOCAL_MACHINE\SOFTWARE\Policies
      \Microsoft\Windows\WindowsUpdate\AU]
      注册表值:"NoAutoUpdate "
      类型: DWORD
            值: 1 (0x1)
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
      \Services\SharedAccess\Parameters
      \FirewallPolicy\StandardProfile]
      注册表值:" EnableFirewall"
      类型: DWORD
      值: 0 (0)
附:
 


点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]