病毒名称： Trojan-PSW.Win32.OnLineGames.alsf
病毒类型： 盗号木马
文件 MD5： 2087197E0474B9BC5365B76F88E4EE86
公开范围： 完全公开
危害等级： 4
文件长度： 24,420 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： WinUpack 0.39 final -> By Dwing

　　该病毒下载者木马类，病毒运行后调用API获取系统文件夹路径，衍生病毒文件到系统
目录%system32%下；重命名为update.exe（随机病毒名）；并加载创建该病毒进程，遍历
进程查找是否存在一下进程名：GuardField.exe、conime.exe、wuauclt.exe、
spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程，
病毒运行后自我删除，创建注册表病毒服务，映像劫持多款安全软件及调试工具，使系统安
全性大大降低，连接网络读取列表下载大量恶意文件到本地运行，经分析下载的文件多为盗
号木马，给用户清理带来及大的不便！

本地行为：

1、文件运行后会释放以下文件：

　　　　%Windir%\update.exe 　　　　　　　　17,353 字节

2、创建注册表病毒服务：

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　　　　\Enum\Root\LEGACY_VSPQNK\0000\Service]
　　　　注册表值: "vspqnk"
　　　　类型： REG_SZ
　　　　值："Vspqnk"
　　　　描述: 服务描述

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Vspqnk\Description]
　　　　注册表值: "DisplayName"
　　　　类型： REG_SZ
　　　　值："Vspqnk"
　　　　描述: 服务描述

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Vspqnk\DisplayName]
　　　　注册表值: "DisplayName"
　　　　类型： REG_SZ
　　　　值：" Vspqnk"
　　　　描述: 服务名称

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Vspqnk\ErrorControl]
　　　　注册表值: "ErrorControl"
　　　　类型： REG_SZ
　　　　值："DWORD: 1 (0x1)"
　　　　描述: 服务控制

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Vspqnk\ImagePath]
　　　　注册表值: "ImagePath"
　　　　类型： REG_SZ
　　　　值："\??\C:\WINDOWS\system32\vspqnk"
　　　　描述: 服务映像文件的启动路径

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Vspqnk\Start]
　　　　注册表值: "Start"
　　　　类型： REG_SZ
　　　　值："DWORD: 3 (0x3)"
　　　　描述: 服务的启动方式，手动

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Vspqnk\Type]
　　　　注册表值: "Type"
　　　　类型： REG_SZ
　　　　值："DWORD: 3 (0x3)"
　　　　描述: 服务类型
　　　　
3、映像劫持多款安全软件：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows NT\CurrentVersion
　　　　\Image File Execution Options\被映像劫持的文件名称]
　　　　新建键值: "Debugger"
　　　　类型： REG_SZ
　　　　字符串： “ntsd -d”

　　　　劫持文件名列表：
　　　　360rpt.exe、360safebox.exe、360tray.exe、adam.exe、
　　　　AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、
　　　　autoruns.exe、avconsol.exe、avgrssvc.exe、
　　　　AvMonitor.exe、avp.com、avp.exe、CCenter.exe、
　　　　ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、
　　　　FTCleanerShell.exe、HijackThis.exe、IceSword.exe、
　　　　idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、
　　　　kaccore.exe、KaScrScn.SCR、KASMain.exe、KASTask.exe、
　　　　KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
　　　　KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、
　　　　KISLnchr.exe、kissvc.exe、KMailMon.exe、KMFilter.exe、
　　　　KPFW32.exe、kpfwsvc.exe、、KPPMain.exe、KRegEx.exe、
　　　　KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、
　　　　KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、
　　　　kvolself.exe、KvReport.kxp、KVScan.kxp、KVsrvXP.exe、
　　　　KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、
　　　　KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、
　　　　mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、
　　　　nod32krn.exe、、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、
　　　　procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、
　　　　qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、
　　　　RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、
　　　　ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、
　　　　FYFireWall.exe、、rfwproxy.exe、FYFireWall.exe、
　　　　rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、
　　　　runiep.exe、safebank.exe、safeboxtray.exe、
　　　　safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、
　　　　SREng.EXE、symlcsvc.exe、SysSafe.exe、
　　　　TrojanDetector.exe、Trojanwall.exe、、TrojDie.kxp、、
　　　　UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
　　　　UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、
　　　　vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe、
　　　　OllyDBG.EXE、OllyICE.EXE

4、遍历进程查找是否存在一下进程名：GuardField.exe、conime.exe、wuauclt.exe、
　 spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上
　 进程。

网络行为:

　　　　协议：TCP
　　　　端口：80
　　　　连接服务器名：http://txt.sonu****.info/tt/1.txt
　　　　IP地址：121.10.104.**
　　　　描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容：
　　　　[DOWN]
　　　　1=http://xxx.dfasd****.cn/cao/aa1.exe
　　　　2=http://xxx.dfasd****.cn/cao/aa2.exe
　　　　3=http://xxx.dfasd****.cn/cao/aa3.exe
　　　　4=http://5.gexi****.info/cao/aa4.exe
　　　　5=http://5.gexi****.info/cao/aa5.exe
　　　　6=http://5.gexi****.info/cao/aa6.exe
　　　　7=http://5.gexi****.info/cao/aa7.exe
　　　　8=http://xxx.dfasd****.cn/cao/aa8.exe
　　　　9=http://xxx.dfasd****.cn/cao/aa9.exe
　　　　10=http://111.dfasd****.cn/cao/aa10.exe
　　　　11=http://111.dfasd****.cn/cao/aa11.exe
　　　　12=http://111.dfasd****.cn/cao/aa12.exe
　　　　13=http://111.dfasd****.cn/cao/aa13.exe
　　　　14=http://111.dfasd****.cn/cao/aa14.exe
　　　　15=http://222.dfasd****.cn/cao/aa15.exe
　　　　16=http://222.dfasd****.cn/cao/aa16.exe
　　　　17=http://222.dfasd****.cn/cao/aa17.exe
　　　　18=http://222.dfasd****.cn/cao/aa18.exe
　　　　19=http://222.dfasd****.cn/cao/aa19.exe
　　　　20=http://333.dfasd****.cn/cao/aa20.exe
　　　　21=http://333.dfasd****.cn/cao/aa21.exe
　　　　22=http://333.dfasd****.cn/cao/aa22.exe
　　　　23=http://333.dfasd****.cn/cao/aa23.exe
　　　　24=http://444.dfasd****.cn/cao/aa24.exe
　　　　25=http://xxx.dfasd****.cn/cao/aa25.exe
　　　　26=http://xxx.dfasd****.cn/cao/aa26.exe
　　　　27=http://xxx.dfasd****.cn/cao/aa27.exe
　　　　28=http://xxx.dfasd****.cn/cao/aa28.exe
　　　　29=http://xxx.dfasd****.cn/cao/aa29.exe
　　　　30=http://444.dfasd****.cn/cao/aa111.exe

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　
　　　　　　　　

1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载： www.antiy.com　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 (1)使用ATOOL“进程管理”关闭病毒相关进程：
　 　 结束Explorer.exe进程
　 (2)强行删除病毒文件：
　 　 %Windir%\update.exe
　 (3)删除病毒服务注册表及映像劫持项
　 　 [HKEY_LOCAL_MACHINE\SYSTEM
　 　 \CurrentControlSet\Enum\Root
　 　 \LEGACY_MHFP\0000\Service]
　 　 键值："vspqnk"
　 　 删除vspqnk键值
　 　[HKEY_LOCAL_MACHINE\SYSTEM
　 　\CurrentControlSet\Services]
　 　 键值："vspqnk"
　 　 删除vspqnk键值
　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　\Windows NT\CurrentVersion]
　 　 键值："Image File Execution Options"
　 　 删除注册表Image File Execution Options键值

点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net