Trojan.Win32.Vaklik.nl分析

　　病毒名称： Trojan.Win32.Vaklik.nl

　　病毒类型： 盗号木马类

　　文件 MD5： AD1E7E283FB1BE891A00C1AE4DDEC90A

　　公开范围： 完全公开

　　危害等级： 3

　　文件长度： 18,337 字节

　　感染系统： Windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： Upack 2.4 - 2.9 beta -> Dwing

　　病毒描述：

　　该病毒属盗QQ三国游戏木马。病毒运行后复制自身到%Windir%\下，重命名为

　　xymimxvt.exe，并衍生病毒文件到%system32%\下，重命名为ucmmvggx.dll；该

　　病毒文件运行后，将病毒文件ucmmvggx.dll文件注入explorer.exe进程，禁止

　　liveupdate.exe游戏更新进程，如发现该进程则将其关闭，添加注册表启动项，

　　以达到开机自启动目的，监视qqsg.exe游戏进程，以便窃取用户名及密码。

　　行为分析：

　　本地行为：

　　1、文件运行后会释放以下文件：

　　%Windir%\xymimxvt.exe

　　%system32%\ucmmvggx.dll

　　2、新增注册表启动项，以达到开机自启动目的：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

　　\Windows\CurrentVersion\Run]

　　新建键值: 字串: "oxcygmqi"="C:\WINDOWS\xymimxvt.exe"

　　描述：添加注册表启动项，以达到开机自启动目的

　　3、将病毒文件ucmmvggx.dll文件注入explorer.exe进程。

　　4、禁止liveupdate.exe游戏更新进程，如发现该进程则将其关闭。

　　5、监视游戏主程序窃取帐号及密码：

　　监视qqsg.exe游戏进程，以便窃取用户名及密码。

　　注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的

　　位置。

　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录

　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录

　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录

　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区

　　%Documents and Settings% 　　　当前用户文档根目录

　　%Temp% 　　　　　　　　　　　　\Documents and Settings

　　\当前用户\Local Settings\Temp

　　%System32% 　　　　　　　　　　系统的 System32文件夹

　　Windows2000/NT中默认的安装路径是C:\Winnt\System32

　　windows95/98/me中默认的安装路径是C:\Windows\System

　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　 　　　　　　　　

　　清除方案：

　　1 、使用安天防线2008可彻底清除此病毒(推荐)，

　　请到安天网站下载：www.antiy.com 。　

　　2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 　

　　(1)使用安天木马防线“进程管理”关闭病毒Explorer.exe进程,

　　从新加载Explorer.exe进程：　

　　(2)删除病毒文件：

　　%Windir%\xymimxvt.exe

　　%system32%\ucmmvggx.dll

　　(3)删除病毒添加的注册表项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

　　\Windows\CurrentVersion\Run]

　　新建键值: 字串: "oxcygmqi"="C:\WINDOWS\xymimxvt.exe"

　　描述：添加注册表启动项，以达到开机自启动目的