基本介紹
- 中文名:Trojan.PSW.Win32.OnLineGames.alsf
- 公開範圍: 完全公開
- 危害等級: 4
- 檔案長度: 24,420 位元組
病毒標籤,行為分析,本地行為,網路行為,清除方案,推薦防殺工具,補充資料,
病毒標籤
病毒名稱: Trojan-PSW.Win32.OnLineGames.alsf
病毒類型: 盜號木馬
檔案 MD5: 2087197E0474B9BC5365B76F88E4EE86
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: WinUpack 0.39 final -> By Dwing
行為分析
本地行為
1、檔案運行後會釋放以下檔案:
%Windir%\update.exe 17,353 位元組
2、創建註冊表病毒服務:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Enum\Root\LEGACY_VSPQNK\0000\Service]
註冊表值: "vspqnk"
類型: REG_SZ
值:"Vspqnk"
描述: 服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Vspqnk\Description]
註冊表值: "DisplayName"
類型: REG_SZ
值:"Vspqnk"
描述: 服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Vspqnk\DisplayName]
註冊表值: "DisplayName"
類型: REG_SZ
值:" Vspqnk"
描述: 服務名稱
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Vspqnk\ErrorControl]
註冊表值: "ErrorControl"
類型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服務控制
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Vspqnk\ImagePath]
註冊表值: "ImagePath"
類型: REG_SZ
值:"\??\C:\WINDOWS\system32\vspqnk"
描述: 服務映像檔案的啟動路徑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Vspqnk\Start]
註冊表值: "Start"
類型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服務的啟動方式,手動
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Vspqnk\Type]
註冊表值: "Type"
類型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服務類型
3、映像劫持多款安全軟體:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Image File Execution Options\被映像劫持的檔案名稱稱]
新建鍵值: "Debugger"
類型: REG_SZ
字元串: “ntsd -d”
劫持檔案名稱列表:
360rpt.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、kpfwsvc.exe、、KPPMain.exe、KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、nod32krn.exe、、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、FYFireWall.exe、、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、、TrojDie.kxp、UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe、OllyDBG.EXE、OllyICE.EXE
4、遍歷進程查找是否存在一下進程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如發現存在以上進程名則調用TerminateProcess函式強行結束以上進程。
網路行為
協定:TCP
連線埠:80
連線伺服器名:http://txt.sonu****.info/tt/1.txt
IP位址:121.10.104.**
描述:連線伺服器讀取TXT列表內容下載病毒,讀取的列表內容:
[DOWN]
1=http://xxx.dfasd****.cn/cao/aa1.exe
2=http://xxx.dfasd****.cn/cao/aa2.exe
3=http://xxx.dfasd****.cn/cao/aa3.exe
4=http://5.gexi****.info/cao/aa4.exe
5=http://5.gexi****.info/cao/aa5.exe
6=http://5.gexi****.info/cao/aa6.exe
7=http://5.gexi****.info/cao/aa7.exe
8=http://xxx.dfasd****.cn/cao/aa8.exe
9=http://xxx.dfasd****.cn/cao/aa9.exe
10=http://111.dfasd****.cn/cao/aa10.exe
11=http://111.dfasd****.cn/cao/aa11.exe
12=http://111.dfasd****.cn/cao/aa12.exe
13=http://111.dfasd****.cn/cao/aa13.exe
14=http://111.dfasd****.cn/cao/aa14.exe
15=http://222.dfasd****.cn/cao/aa15.exe
16=http://222.dfasd****.cn/cao/aa16.exe
17=http://222.dfasd****.cn/cao/aa17.exe
18=http://222.dfasd****.cn/cao/aa18.exe
19=http://222.dfasd****.cn/cao/aa19.exe
20=http://333.dfasd****.cn/cao/aa20.exe
21=http://333.dfasd****.cn/cao/aa21.exe
22=http://333.dfasd****.cn/cao/aa22.exe
23=http://333.dfasd****.cn/cao/aa23.exe
24=http://444.dfasd****.cn/cao/aa24.exe
25=http://xxx.dfasd****.cn/cao/aa25.exe
26=http://xxx.dfasd****.cn/cao/aa26.exe
27=http://xxx.dfasd****.cn/cao/aa27.exe
28=http://xxx.dfasd****.cn/cao/aa28.exe
29=http://xxx.dfasd****.cn/cao/aa29.exe
30=http://444.dfasd****.cn/cao/aa111.exe
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL“進程管理”關閉病毒相關進程,結束Explorer.exe進程,
(2)強行刪除病毒檔案: %Windir%\update.exe
(3)刪除病毒服務註冊表及映像劫持項
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Enum\Root
\LEGACY_MHFP\0000\Service]
鍵值:"vspqnk"
刪除vspqnk鍵值
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services]
鍵值:"vspqnk"
刪除vspqnk鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion]
鍵值:"Image File Execution Options"
