天龙八部盗号程序

Trojan-PSW.Win32.OnLineGames.emwl

捕获时间

2010-12-20

危害等级

中

病毒症状

  该样本是使用“C/C ”编写的木马程序，采用"upx"加壳方式试图躲避特征码扫描,加壳后长度为“29,766”字节，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的是盗取网游天龙八部的"账号""密码"。
　　用户中毒后，会出现系统运行缓慢、存在大量未知可疑进程、天龙八部游戏无故关闭、天龙八部游戏"账号""密码"被盗等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载
手动解决办法：

（1）手动删除以下注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称：SVCH0SAT
数据：c:\windows\system32\SVCH0SAT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名称：Ps
数据：c:\windows\system32\imetlws.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名称：Ps
数据：c:\windows\system32\imetlws.exe

（2）手动删除以下文件：
%SystemRoot%\system32\SVCH0SAT.EXE
%SystemRoot%\system32\caewnt.dl
%SystemRoot%\system32\imetlbb.dll
%SystemRoot%\imetlws.exe
%SystemRoot%\system32\imetlws.exe
%SystemDriver%\mxdos.sys

变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析

（1）该样本运行后，获取自己程序路径，判断自身是否是%SystemRoot%\system32\SVCH0SAT.EXE。
（2）如果不是，则创建进程快照枚举进程，尝试查找进程SVCH0SAT.EXE并强行关闭。
（3）在%Temp%文件夹下创建并运行批处理~god2.bat，将自身复制到%SystemRoot%\system32\目录下更名为SVCH0SAT.EXE，删除自身原程序，删除批处理~god2.bat，并运行SVCH0SAT.EXE。
（4）SVCH0SAT.EXE运行后，创建互斥体对象，防止重复运行。操作以下注册表项目，达到SVCH0SAT.EXE的开机启动：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称：SVCH0SAT
数据：c:\windows\system32\SVCH0SAT.EXE
（5）接着从自身资源中释放动态链接库caewnt.dl、imetlbb.dll到%SystemRoot%\system32\目录下，并将自身提权到"SeDebugPrivilege"权限。
（6）查找类名为"TianLongBaBu WndClass"的窗口（天龙八部游戏窗口），若找到则将其进程强行关闭。
（7）设置定时器，重复查找类名为"TianLongBaBu WndClass"的窗口，若找到则将imetlbb.dll动态链接库注入到其进程中；重复查找类名为"Maxthon2_Frame"、"IEFrame"、"_____TTFrameWnd__101__"等浏览器的窗口，若找到则将caewnt.dl注入到其进程中。
（8）Imetlbb.dll被注入到游戏进程中后，通过内存读写与挂钩进程内函数的方法，盗取游戏的"账号""密码"信息，并将信息写入到创建在　%SystemDriver%目录下的mxdos.sys文件中；caewnt.dl被注入到浏览器后，从mxdos.sys文件中读取盗取的信息，并发送到黑客指定的地址。
（9）最后该样本从自身资源释放文件imetlws.exe到%SystemRoot%目录下，运行imetlws.exe并退出。
（10）Imetlws.exe运行后，创建事件对象防止重复运行，之后从自身资源释放动态链接库Ps.dll到%SystemRoot%目录下。
（11）加载Ps.dll，调用其导出函数PlayWork，创建全局钩子，用以拦截用户键盘消息，并将获取的信息发送到黑客指定的网址。
（12）将自身复制到%SystemRoot%\system32目录下，并操作以下注册表项，达到imetlws.exe的开机启动：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名称：Ps
数据：c:\windows\system32\imetlws.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名称：Ps
数据：c:\windows\system32\imetlws.exe

病毒创建文件：

%SystemRoot%\system32\SVCH0SAT.EXE
%Temp%\~god2.bat
%SystemRoot%\system32\caewnt.dl
%SystemRoot%\system32\imetlbb.dll
%SystemRoot%\system32\imetlws.exe
%SystemRoot%\imetlws.exe
%SystemDriver%\mxdos.sys

病毒删除文件：

病毒自身
%Temp%\~god2.bat

病毒修改注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称：SVCH0SAT
数据：c:\windows\system32\SVCH0SAT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名称：Ps
数据：c:\windows\system32\imetlws.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名称：Ps
数据：c:\windows\system32\imetlws.exe

病毒访问网络：

http://1**.12.1**.49:3***/t.asp