出处:安天CERT 时间:2007-09-05 15:00
病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.bfj
中文名称: 游戏盗号器
病毒类型: 木马类
文件 MD5: E32A875BF518A9EF35CB8BAAAEA6DEE2
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前24,938 字节,脱壳后147,456 字节
感染系统: Win98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: Upack 0.3.9 beta2s -> Dwing
命名对照: AVG [PSW.OnlineGames.HAX]
BitDefender [Generic.PWStealer.B01E251D]
IKARUS [Trojan-Dropper.Win32.Agent.ane]
病毒描述:
该病毒运行后衍生病毒副本及其功能文件到系统目录下,修改完美世界、武林外传
和诛仙游戏的客户端程序elementclient.exe 名为elemontclient.exe,并设置其属性为
隐藏,用病毒副本替换elementclient.exe,以达到启动病毒体的目的。使用Hook方法注
入病毒 dll 文件到进程中,查找名称为 Element Client 登陆窗口,盗取用户敏感信息
发送出去。
行为分析:
本地行为:
%WinDir%\kulionzx.exe 28,160 字节
发送信息参数:
User= 用户名 &pass = 密码 & ser = 服务器名 _ 网络连接 &cangku =
仓库密码&beizhu = 备注 &rw = 等级 &pcname = 计算机名
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
(1)使用安天木马防线“进程管理”关闭病毒进程:
elementclient.exe
(2)重新启动计算机。
(3)删除病毒文件:
%WinDir%\kulionzx.dll
%WinDir%\kulionzx.exe