1 重编辑帖子时间7.25。毒源更新时间7.23

328397663

原帖由 sam.to 于 2009-7-21 23:10 发表
to kl,ll

qidong.exe_ - Trojan.Win32.Agent2.kyc

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

2288136aa

HEUR/Malware

64575509

1、        病毒运行后衍生文件到以下目录
%Windir%\system\Tob1.tmp
%Documents and Settings%\当前所在用户\Local Settings\Temp\Tob1.tmp

2、感染%System32%目录下的"d3d9.dll"、"perfctrs.dll"文件，当游戏运行后会加载该2个系统库文件，被感染的文件具有盗号行为，然后达到不添加注册表项绕过杀毒软件查杀。

3、病毒运行之后动态加载"Kernel32.dll"系统库文件，遍及进程查找aion.bin（永恒之塔游戏）进程，如找不到则调用函数查找aion client的窗口并向窗口发送关闭消息，找到之后强行结束该进程。

4、动态加载sfc_os.dll系统库文件调用该库中的#5序号函数去掉对perfctrs.dll、d3d9.dll文件的保护，判断文件第一个节是否是.text,如果是则开始感染，感染完毕后将perfctrs.dll.rep、perfctrs.dll.bak、d3d9.bak改为原文件名并删除之前备份的文件，游戏运行后会调用这2个库文件因此这2个被感染的库文件具有盗号行为

5、病毒衍生文件通过遍历进程查找playnclauncher.exe进程和遍历窗体查找含有“aion引导程序”文字窗体，找到后安装键盘消息钩子截取游戏账号密码通过URL方式发送到作者指定的地址中。

四、 清除方案：

(1) 重启电脑进入安全模式下将%System32%\DllCache\目录下的perfctrs.dll.bak、d3d9.dll.bak拷贝到%System32%目录下重命名为：perfctrs.dll、d3d9.dll覆盖被感染的文件

（2）删除病毒衍生的文件
%Windir%\system\Tob1.tmp
%Documents and Settings%\当前所在用户\Local Settings\Temp\Tob1.tmp

[ 本帖最后由 64575509 于 2009-7-22 14:55 编辑 ]

killloop

飞

主动防御

RIS2010启发式分析查杀

可疑：Trojan.PSW.Win32.QQPass.emb

尤金卡巴斯基

To KL

主动防御

RIS2010启发，已上报瑞星云安全自动分析系统

主动防御

上报文件成功！
查询编号：RS20090725183757015735
为查询文件分析结果，请记录此编号。谢谢您的参与！

主动防御

还不错，5分钟

查询编号：RS20090725183757015735
文件名称：qidong.zip
文件MD5：01839B4192053B50FD54B03FC81E5EB2
文件状态：压缩文件，包含1个文件
文件名        MD5        状态        病毒名称        解决版本号
qidong.exe        2F0955D48...        病毒文件        Trojan.Win32.Generic.1...        22.05.05.19

失落的手链

瑞星2010
Trojan.Win32.Generic.11EB28DB
可疑：Trojan.PSW.Win32.QQPass.emb