天高云淡

危险等级：★★★
病毒名称：Trojan.PSW.Win32.GameOnline.adi
截获时间：2007-11-13
入库版本：20.18.11
类型：后门型病毒

感染的操作系统：Windows NT所有版本系统

威胁情况：

传播级别：低

全球化传播态势：低

破坏力：高

清除难度：困难

破坏手段：注入其它程序进程，寻找并盗取网络游戏密码

这是通过消息钩子注入其它进程，盗取网络游戏密码的病毒。病毒由C语言编写，upx加壳保护。

病毒主程序运行后进行如下操作：

1．检查事件对象，确保只运行一个实例

病毒调用OpenEventA尝试打开名为”CZXSDERDAKSIICS_MX”的事件对象，假如成功则表示有一个实例在运行，病毒直接退出。假如不成功，病毒将生成这个事件对象。

2．查找并关闭安全软件

病毒通过调用CreateToolhelp32Snapshot、Process32Next等函数遍历进程，搜索”Twister.exe”、”FilMsg.exe”两个安全软件的进程，假如找到则调用TerminateProcess关闭进程。

3．提取权限

病毒调用OpenProcessToken、SeDebugPrivilege、LookupPrivilegeValueA等函数提升自己进程的权限。

4．关闭杀毒软件的提示

病毒生成两个新的线程用于关闭杀毒软件提示。

线程1 ：遍历进程搜索RavMon.exe进程，并遍历其线程，然后调用EnumThreadWindows枚举窗口，查找特定窗口并向其发命令消息关闭杀毒软件功能。

线程2 ：不断查找名称为”Product_Notification”、类名为”AlertDialog”的窗口，然后查找其名为”答应”、”跳过”的子窗口，向其发送WM_LBUTTONDOWN等消息 模拟点击，以此来关闭杀毒软件提示窗口。

5．释放动态库

病毒调用FindResourceA、CreateFileA等函数，从自己的资源（资源名称”MNDLL”）中释放一个dll文件为” %System%\csavpw0.dll”，并将该dll的文件时间设置为和系统的explorer.exe一样。

6．生成注册表键值以便自动运行

病毒添加如下等注册表键，以便其释放的dll可以自动加载：
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
“{8DFA2904-9664-43AE-8929-4347554D24B6}” = EXTR RISING HOOK CS

HKLM \Software\Classes\CLSID\{8DFA2904-43AE-8929-9664-4347554D24B6}

HKCR\CLSID\{8DFA2904-43AE-8929-9664-4347554D24B6}\ExeModuleName=
“L:\Share\Work\PE\复件 1303861_5-nmuiftcn.exe”

HKCR\CLSID\{8DFA2904-43AE-8929-9664-4347554D24B6}\DllModuleName=
“C:\WINNT\System32\csavpw0.dll”

HKCR\CLSID\{8DFA2904-43AE-8929-9664-4347554D24B6}\SobjEventName=
“CZXSDERDAKSIICS_0″

7．调用LoadLibraryA加载释放的dll，然后退出。

病毒的动态链接库执行如下操作：

1．检查事件对象，保证只有一个dll实例运行

病毒调用OpenEventA尝试打开名为” CZXSDERDAKSIICS_0″的事件对象，假如可以打开则直接退出。

2．启动线程，保护自己的文件和注册表

病毒启动一个线程，循环访问自己的文件和注册表项，假如发现文件或注册表项不存在了，则生成。同时病毒以独占方式打开自己，以防止文件被删除。

3．查找并注入explorer.exe

病毒遍历查找explorer.exe进程，然后调用WriteProcessMemory、CreateRemoteThread 等函数将自己注入explorer.exe。

4．检查自己是否在相应的游戏进程，执行相应的信息盗取

病毒dll检查自己是否是在” woool88.dat”、” cabalmain.exe”、” maplestory.exe”这三个游戏的进程，假如是则通过读取内存、读取相应的游戏配置文件的方式，盗取游戏用户的密码等敏感信息。

5．发送信息

假如病毒获取了游戏用户的信息，则通过调用InternetOpenA、InternetOpenUrlA等函数将信息通过http请求发送到” http://ajmxd.konbo120.com/txmxd/mail.asp”。

检查自己是否是explorer.exe进程并执行相应操作

病毒检查自己是否在explorer.exe进程，如是则调用SetWindowsHookExA函数设置挂钩，以便将自己注入其它进程。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到20.18.11版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。