Trojan-GameThief.Win32.OnLineGames.spzp（jlgejgei32fg.dll）分析

　　病毒名称： Trojan-GameThief.Win32.OnLineGames.spzp

　　病毒类型： 盗号木马

　　文件 MD5： A911C16196B248B2721AC6559D35ABA4

　　公开范围： 完全公开

　　危害等级： 3

　　文件长度： 16,310 字节

　　感染系统： Windows98以上版本

　　开发工具： Borland Delphi 5.0 KOL [Overlay]

　　加壳类型： Upack 0.3.9 beta2s -> Dwing [Overlay]

　　病毒描述

　　该病毒为盗征途游戏账号的木马，病毒运行后衍生病毒DLL文件到%System32%目录下命名为：jlgejgei32fg.dll，获取系统当前系统时间将病毒DLL文件创建时间修改为2004年8月8日，并将该DLL文件插入到explorer.exe系统进程中，添加注册表注册病毒CLSID值及HOOK启动项，释放bat批处理文件到temp目录下用来删除病毒自身，衍生的DLL文件主要行为：遍历进程查找征途游戏进程，通过截获征途游戏窗体及消息句丙”messageboxa征途正式版”，获取当前用户的键盘和鼠标消息以获取游戏的账号及密码，发送到病毒作者指定的URL。

　　行为分析-本地行为

　　1、文件运行后会释放以下文件

　　%system32%jlgejgei32fg.dll 　　　 539,648 字节

　　2、新增注册表项，创建CLSID值，添加到HOOK项启动

　　[HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F490415F-65F8-B5C5-D8BA-9405FB12054F}InprocServer32]

　　注册表值: “@”

　　类型： REG_SZ

　　字符串："C:WINDOWSsystem32jlgejgei32fg.dll"

　　描述:注册CLSID值

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{F490415F-65F8-B5C5-D8BA-9405FB12054F}

　　注册表值："jlgejgei32fg.dll"

　　类型： REG_SZ

　　值：""

　　描述: 将病毒文件的ID号添加到HOOK项中，使explorer.exe进程自动加载病毒文件。

　　3、获取系统当前系统时间将病毒DLL文件创建时间修改为2004年8月8日，并将该DLL文件插入到explorer.exe系统进程中。

　　4、释放bat批处理文件到temp目录下用来删除病毒自身，bat批处理代码为：

　　@echo off

　　:Loop

　　del "病毒原文件所在位置"

　　if exist "病毒原文件所在位置" goto Loop

　　del %0

　　5、衍生的DLL文件主要行为：遍历进程查找征途游戏进程，通过截获征途游戏窗体及消息句丙”messageboxa征途正式版”，获取当前用户的键盘和鼠标消息以获取游戏的账号及密码。

　　行为分析-网络行为

　　以URL方式发送到指定的地址中，该盗号木马的收信地址为：

　　http://aba.j****.cn/txzt/total/post.asp

　　注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录

　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录

　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录

　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区

　　%Documents and Settings% 　　　 当前用户文档根目录

　　%Temp% 　　　　　　　　　　　　Documents and Settings

　　　　　　　　　 当前用户Local SettingsTemp

　　%System32% 　　　　　　　　　　 系统的 System32文件夹

　　Windows2000/NT中默认的安装路径是C:WinntSystem32

　　windows95/98/me中默认的安装路径是C:WindowsSystem

　　windowsXP中默认的安装路径是C:WindowsSystem32

　　--------------------------------------------------------------------------------

　　清除方案

　　手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　（1） 使用ATOOL进程管理查找explorer.exe进程查找该进程模块中的jlgejgei32fg.dll病毒文件，将其卸载掉。

　　（2） 强行删除病毒下载的大量病毒文件

　　%system32%jlgejgei32fg.dll

　　（3） 删除病毒添加的注册表项

　　[HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F490415F-65F8-B5C5-D8BA-9405FB12054F}InprocServer32]

　　注册表值: “@”

　　类型： REG_SZ

　　字符串："C:WINDOWSsystem32jlgejgei32fg.dll"

　　描述:注册CLSID值

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{F490415F-65F8-B5C5-D8BA-9405FB12054F}

　　注册表值："jlgejgei32fg.dll"

　　类型： REG_SZ

　　值：""

　　描述: 将病毒文件的ID号添加到HOOK项中，使explorer.exe进程自动加载病毒文件。