“网游窃贼”肆虐横行网游用户面临重大威胁

lindeng1988

病毒描述病毒名称    :  Trojan/PSW.OnLineGames.csje
文件MD5     :  aa44ee582c938c15c2e6fc52bc322760
文件大小    :  21，544字节
编写环境    :  VC++6.0
是否加壳    :  是
文档公开级别 ： 完全公开
病毒执行体描述：
    Trojan/PSW.OnLineGames. csje是一款专门盗取网络游戏“仙途”、“龙之谷”账号的病毒，运行时会在系统的指定目录释放DLL文件，会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的站点（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。
病毒行为流程分析:
对病毒主程序的分析：
一． 创建进程快照，查找进程名称：“xtgame.dat”、“dragonnest.exe”、“elementclient.exe”，找到之后用TerminateProcess结束。
二． 获得系统目录路径，找到%system32%msnsock.dll，把属性设置为FILE_ATTRIBUTE_NORMAL，然后删除。
三． 如果不能成功删除，该病毒会获取系统目录路径和本地系统时间，创建%system32%201283152314.dll，并加载执行。继续创建恶意DLL组件%system32%msalzg32.dll，建立键盘鼠标钩子，盗取游戏账号等信息。
四． 如果成功删除，该病毒会创建恶意DLL组件%system32%msnsock.dll，并加载执行。继续创建恶意DLL组件%system32%msalzg32.dll，建立键盘鼠标钩子，盗取游戏账号等信息。
五． 调用CMD命令在后台实施自删除。
对恶意DLL组件msalzg32.dll的分析：
该恶意DLL组件采用UPX加壳，大小为11,816字节，MD5值为f4c9c047de5aa35be5820b4f3d38e0ea。
运行后，首先获得本机MAC地址；调用GdiplusStartup函数来初始化Microsoft Windows GDI+；创建网络连接，与远程地址http://www.qwe987.com:1555/liu/liu/lin.asp?tt=0&rand=6485进行连接；创建线程，获取gwcore.dll的句柄，对其进行hook，采用截图的方式获取玩家的账号密码，密保卡等信息。
对恶意DLL组件2012530154406.dll的分析：该恶意DLL组件采用UPX加壳，大小为4608字节，MD5值为5576e73e1d353b7a38786c2cfb1a751d。
该DLL是病毒作者编写的基于IP协议的服务提供者并安装于系统之中，当系统启动时，就会被系统加载。尝试更改windows的系统服务：WS2IFSL。
程序运行释放的文件：
%system32%msnsock.dll
%system32%msalzg32.dll
%system32%201283152314.dll
病毒技术要点
Trojan/PSW.OnLineGames.civl病毒是一款典型的网络游戏盗号木马，在应用层进行了很好的策略操作。在保证其网络开机自动运行的情况下，对机器本身并无其他操作，行为上看无明显病毒特征。在释放的恶意DLL组件201283152314.dll中，是病毒作者卸载了系统原来的IP分层协议，然后安装了自定义的IP分层协议，更新所有服务提供者的安装顺序，把自定义的服务提供者排在所有协议的最前列。
病毒清理流程
直接删除文件%system32%msnsock.dll
                 %system32%msalzg32.dll
                 %system32%201283152314.dll

zyx9

发错地方了吧

lindeng1988

zyx9 发表于 2012-8-3 18:51
发错地方了吧

没有，这是江民的病毒播报所以没有发错地方。