PSW.Win32.OnLineGames.aocg

檔案 MD5： 1754E55800F753F51F69F7F21183D5AB

檔案長度： 25,728 位元組

感染系統： Windows98以上版本

開發工具： Microsoft Visual C++ 6.0

加殼類型： WinUpack 0.39 final -> By Dwing

該病毒下載者木馬類，病毒運行後調用API獲取系統資料夾路徑，在%System32%目錄下創建病毒檔案ajfcaa.exe（6位隨機病毒名），並載入創建該病毒進程，遍歷進程查找是否存在一下進程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如發現存在以上進程名則調用TerminateProcess函式強行結束以上進程，調用LoadLibraryA函式載入SFC.DLL檔案。將%System32%\drivers\目錄下的beep.sys檔案刪除，並創建一個同名的檔案，創建dat檔案到臨時目錄，創建註冊表病毒服務，等待載入完畢後將dat檔案刪除，添加註冊表映像劫持，劫持多款安全軟體，使系統安全性降低，利用ZwQuerySystemInformation()枚舉核心模組，遍歷進程查找：DrvAnti.exe（驅動防火牆）、csrss.exe（系統進程），如找到則強行結以上2個進程，病毒運行後自我刪除，連線網路讀取列表下載大量惡意檔案到本地運行，經分析下載的檔案多為盜號木馬，給用戶清理帶來及大的不便。

本地行為：

1、檔案運行後會釋放以下檔案：

%System32%\ajfcaa.exe 　13,028 位元組

2、創建註冊表病毒服務：

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001

\Enum\Root\LEGACY_GDABR\0000\Service]

註冊表值: "gdabr"

類型： REG_SZ

值："Gdabr"

描述: 服務描述

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Gdabr\Description]

註冊表值: "DisplayName"

類型： REG_SZ

值："Gdabr"

描述: 服務描述

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Gdabr\DisplayName]

註冊表值: "DisplayName"

類型： REG_SZ

值：" Gdabr"

描述: 服務名稱

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Gdabr\ErrorControl]

註冊表值: "ErrorControl"

類型： REG_SZ

值："DWORD: 1 (0x1)"

描述: 服務控制

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Gdabr\ImagePath]

註冊表值: "ImagePath"

類型： REG_SZ

值："\??\ C:\DOCUME~1\a\LOCALS~1\Temp\ _temp.dat"

描述: 服務映像檔案的啟動路徑

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Gdabr\Start]

註冊表值: "Start"

類型： REG_SZ

值："DWORD: 3 (0x3)"

描述: 服務的啟動方式，手動

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Gdabr\Type]

註冊表值: "Type"

類型： REG_SZ

值："DWORD: 1 (0x1)"

描述: 服務類型

3、映像劫持多款安全軟體:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows NT\CurrentVersion

\Image File Execution Options\被映像劫持的檔案名稱稱]

新建鍵值: "Debugger"

類型： REG_SZ

字元串： “ntsd -d”

劫持檔案名稱列表：

360rpt.exe、360safebox.exe、360tray.exe、adam.exe、

AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、

avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、

avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、

FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、

idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、

KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、

KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、

KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、

KMFilter.exe、KPFW32.exe、kpfwsvc.exe、、KPPMain.exe、KRegEx.exe、

KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KVFW.EXE、

KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、

KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、

kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、

mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、nod32krn.exe、

NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、

qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、rav.exe、

RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、

ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、

FYFireWall.exe、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、

rfwstub.exe、rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、

safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、

SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、

TrojanDetector.exe、Trojanwall.exe、、TrojDie.kxp、

UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、

UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、

webscanx.exe、WinDbg.exe、WoptiClean.exe、OllyDBG.EXE、OllyICE.EXE

4、遍歷進程查找是否存在一下進程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如發現存在以上進程名則調用TerminateProcess函式強行結束以上進程。

5、調用LoadLibraryA函式載入SFC.DLL檔案。將%System32%\drivers\目錄下的beep.sys檔案刪除，並創建一個同名的檔案作為病毒服務，創建dat檔案到C:\DOCUME~1\a\LOCALS~1\Temp臨時目錄下，創建註冊表病毒服務，等待載入完畢後將dat檔案刪除。

6、利用ZwQuerySystemInformation()枚舉核心模組，遍歷進程查找：DrvAnti.exe（驅動防火牆）、csrss.exe（系統進程），如找到則強行結以上2個進程。

網路行為:

協定：TCP

連線埠：80

連線伺服器名：http://ccc.awer****.cn/txt.txt

IP位址：121.10.113.***

描述：連線伺服器讀取TXT列表內容下載病毒，讀取的列表內容：

http://cao.gm****.com/cao/aa1.exe

http://cao.gm****.com/cao/aa2.exe

http://cao.gm****.com/cao/aa3.exe

http://cao.gm****.com/cao/aa4.exe

http://cao.gm****.com/cao/aa5.exe

http://cao.gm****.com/cao/aa6.exe

http://cao1.gm****.com/cao/aa7.exe

http://cao1.gm****.com/cao/aa8.exe

http://cao1.gm****.com/cao/aa9.exe

http://cao1.gm****.com/cao/aa10.exe

http://cao1.gm****.com/cao/aa11.exe

http://cao1.gm****.com/cao/aa12.exe

http://cao2.gm****.com/cao/aa13.exe

http://cao2.gm****.com/cao/aa14.exe

http://cao2.gm****.com/cao/aa15.exe

http://cao2.gm****.com/cao/aa16.exe

http://cao2.gm****.com/cao/aa17.exe

http://cao2.gm****.com/cao/aa18.exe

http://cao3.gm****.com/cao/aa19.exe

http://cao3.gm****.com/cao/aa20.exe

http://cao3.gm****.com/cao/aa21.exe

http://cao3.gm****.com/cao/aa22.exe

http://cao3.gm****.com/cao/aa23.exe

http://cao3.gm****.com/cao/aa24.exe

註： %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。

%Windir% 　 　 WINDODWS所在目錄

%DriveLetter%　邏輯驅動器根目錄

%ProgramFiles%　系統程式默認安裝目錄

%HomeDrive% 　當前啟動的系統的所在分區

%Documents and Settings% 　當前用戶文檔根目錄

%Temp% 　\Documents and Settings\當前用戶\Local Settings\Temp

%System32% 　系統的 System32資料夾

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32

windows95/98/me中默認的安裝路徑是C:\Windows\System

windowsXP中默認的安裝路徑是C:\Windows\System32

清除方案：

1 、使用安天防線可徹底清除此病毒。

2 、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1)使用ATOOL“進程管理”關閉病毒相關進程。

(2)強行刪除病毒檔案：

%System32%\ajfcaa.exe （隨機6位小寫字母病毒名）

(3)刪除病毒服務註冊表及映像劫持項：

[HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Enum\Root

\LEGACY_MHFP\0000\Service]

鍵值："gdabr"

刪除gdabr鍵值

[HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Services]

鍵值："gdabr"

刪除gdabr鍵值

[HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows NT\CurrentVersion]

鍵值："Image File Execution Options"

刪除註冊表Image File Execution Options鍵值