扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
中文名称: 网游盗号木马
病毒类型: 木马
文件 MD5: D1CA82FD63C7C760CBE43A2520A28E34
文件长度: 14,703 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi v4.0 - v5.0
加壳类型: Upack 0.3.9 beta2s
病毒描述:
该病毒属木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身;修改注册表,将病毒衍生的DLL文件插入到windows应用程序进程中,禁止windows自动更新功能;该病毒可以盗取用户网络游戏的账号与密码。
行为分析:
本地行为:
1、病毒运行后删除自身,衍生病毒文件:
%WINDIR%\Fonts\enfeafx.fon %system32%\kafyjaz.exe %system32%\kafyjcs.dll %system32%\kafyjzy.dll |
2、修改注册表:
将病毒衍生的DLL文件插入到windows应用程序进程中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows\
键值: 字串: "AppInit_DLLs "="kafyjzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{AB681598-AD5F-BC8C-77DC-748FAC8D3FBA}\InprocServer32\@
键值: 字串: "C:\WINDOWS\system32\kafyjzy.dll"
3、病毒修改注册表,禁止windows自动更新:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU\AUOptions
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU\NoAutoUpdate
值: DWORD: 1 (0x1)
4、病毒衍生的病毒文件kafyjzy.dll插入explorer.exe和应级进程中。
网络行为:
该病毒将盗取的游戏账号与密码发送到以下地址:
加密前:
CE382424206A7F7F2727277E27313E3431687E333F3D7F242836353E3729257F203F23247E312320 |
http://www.wanda8.com/txfengyu/post.asp
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
代码分析:
创建注册表CLSID值:
衍生病毒文件enfeafx.fon到系统目录%system32%下:
将ECX的值写入enfeafx.fon中:
:
衍生病毒文件kafyjzy.dll到系统目录%system32%下:
衍生病毒文件kafyjcs.dll到系统目录%system32%下:
下:
将ECX的值写入kafyjcs.dll中作为send地址:
Send地址:
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDIR%\Fonts\enfeafx.fon %system32%\kafyjaz.exe %system32%\kafyjcs.dll %system32%\kafyjzy.dll |
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
键值: 字串: "AppInit_DLLs "="kafyjzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AB681598-AD5F-BC8C-77DC-748FAC8D3FBA}\InprocServer32\@
键值: 字串: "C:\WINDOWS\system32\kafyjzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
值: DWORD: 1 (0x1)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者