Trojan-PSW.Win32.OnLineGames.aocg

Trojan-PSW.Win32.OnLineGames.aocg下载者木马类，病毒运行后调用API获取系统文件夹路径，在%System32%目录下创建病毒文件ajfcaa.exe（6位随机病毒名），并加载创建该病毒进程，遍历进程查找是否存在以下进程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程，调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，创建dat文件到临时目录，创建注册表病毒服务，等待加载完毕后将dat文件删除，添加注册表映像劫持，劫持多款安全软件，使系统安全性降低，利用ZwQuerySystemInformation()枚举内核模块，遍历进程查找：DrvAnti.exe（驱动防火墙）、csrss.exe（系统进程），如找到则强行结束上2个进程，病毒运行后自我删除，连接网络读取列表下载大量恶意文件到本地运行，经分析下载的文件多为盗号木马，给用户清理带来极大的不便！

 ajfcaa.exe,Trojan-PSW.Win32.OnLineGames.aocg本地行为：

1、文件运行后会释放以下文件：%System32%\ajfcaa.exe 13,028 字节

2、创建注册表病毒服务：

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GDABR\0000\Service]
注册表值: "gdabr"
类型： REG_SZ
值："Gdabr"
描述: 服务描述

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gdabr\Description]
注册表值: "DisplayName"
类型： REG_SZ
值："Gdabr"
描述: 服务描述

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gdabr\DisplayName]
注册表值: "DisplayName"
类型： REG_SZ
值：" Gdabr"
描述: 服务名称

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gdabr\ErrorControl]
注册表值: "ErrorControl"
类型： REG_SZ
值："DWORD: 1 (0x1)"
描述: 服务控制

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gdabr\ImagePath]
注册表值: "ImagePath"
类型： REG_SZ
值："\??\ C:\DOCUME~1\a\LOCALS~1\Temp\ _temp.dat"
描述: 服务映像文件的启动路径

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Gdabr\Start]
注册表值: "Start"
类型： REG_SZ
值："DWORD: 3 (0x3)"
描述: 服务的启动方式，手动

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gdabr\Type]
注册表值: "Type"
类型： REG_SZ
值："DWORD: 1 (0x1)"
描述: 服务类型

3、映像劫持多款安全软件:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被映像劫持的文件名称]
新建键值: "Debugger"
类型： REG_SZ
字符串： “ntsd -d”

劫持文件名列表：
360rpt.exe、360safebox.exe、360tray.exe、adam.exe、
AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、
FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、
idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、
KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、
KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、kpfwsvc.exe、、KPPMain.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KVFW.EXE、
KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、
kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、
mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、nod32krn.exe、
NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、
qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、rav.exe、
RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、
ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、
FYFireWall.exe、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、
rfwstub.exe、rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、
safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、
SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、
TrojanDetector.exe、Trojanwall.exe、、TrojDie.kxp、
UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
webscanx.exe、WinDbg.exe、WoptiClean.exe、OllyDBG.EXE、
OllyICE.EXE

4、遍历进程查找是否存在一下进程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程。

5、调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件作为病毒服务，创建dat文件到C:\DOCUME~1\a\LOCALS~1\Temp临时目录下，创建注册表病毒服务，等待加载完毕后将dat文件删除。

6、利用ZwQuerySystemInformation()枚举内核模块，遍历进程查找：DrvAnti.exe
（驱动防火墙）、csrss.exe（系统进程），如找到则强行结以上2个进程。

ajfcaa.exe,Trojan-PSW.Win32.OnLineGames.aocg网络行为:

协议：TCP
端口：80
连接服务器名：http://ccc.awer****.cn/txt.txt
IP地址：121.10.113.***
描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容：
http://cao.gm****.com/cao/aa1.exe
http://cao.gm****.com/cao/aa2.exe
http://cao.gm****.com/cao/aa3.exe
http://cao.gm****.com/cao/aa4.exe
http://cao.gm****.com/cao/aa5.exe
http://cao.gm****.com/cao/aa6.exe
http://cao1.gm****.com/cao/aa7.exe
http://cao1.gm****.com/cao/aa8.exe
http://cao1.gm****.com/cao/aa9.exe
http://cao1.gm****.com/cao/aa10.exe
http://cao1.gm****.com/cao/aa11.exe
http://cao1.gm****.com/cao/aa12.exe
http://cao2.gm****.com/cao/aa13.exe
http://cao2.gm****.com/cao/aa14.exe
http://cao2.gm****.com/cao/aa15.exe
http://cao2.gm****.com/cao/aa16.exe
http://cao2.gm****.com/cao/aa17.exe
http://cao2.gm****.com/cao/aa18.exe
http://cao3.gm****.com/cao/aa19.exe
http://cao3.gm****.com/cao/aa20.exe
http://cao3.gm****.com/cao/aa21.exe
http://cao3.gm****.com/cao/aa22.exe
http://cao3.gm****.com/cao/aa23.exe
http://cao3.gm****.com/cao/aa24.exe

ajfcaa.exe,Trojan-PSW.Win32.OnLineGames.aocg清除方案：

1 、使用安天防线2008可彻底清除此病毒(推荐)，

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1)使用ATOOL“进程管理”关闭病毒相关进程。
(2)强行删除病毒文件：
%System32%\ajfcaa.exe （随机6位小写字母病毒名）
(3) 删除病毒服务注册表及映像劫持项：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MHFP\0000\Service]
键值："gdabr"
删除gdabr键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
键值："gdabr"
删除gdabr键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
键值："Image File Execution Options"
删除注册表Image File Execution Options键值

3、最后清除系统垃圾文件（主要是临时文件夹）