病毒标签：

病毒名称： Trojan-PSW.Win32.OnLineGames.aocg

病毒类型： 盗号木马

文件 MD5： 1754E55800F753F51F69F7F21183D5AB

公开范围： 完全公开

危害等级： 4

文件长度： 25,728 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： WinUpack 0.39 final -> By Dwing

病毒描述：

该病毒下载者木马类，病毒运行后调用API获取系统文件夹路径，在%System32%目录下创建病毒文件ajfcaa.exe（6位随机病毒名），并加载创建该病毒进程，遍历进程查找是否存在一下进程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程，调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\\drivers\\目录下的beep.sys文件删除，并创建一个同名的文件，创建dat文件到临时目录，创建注册表病毒服务，等待加载完毕后将dat文件删除，添加注册表映像劫持，劫持多款安全软件，使系统安全性降低，利用ZwQuerySystemInformation()枚举内核模块，遍历进程查找：DrvAnti.exe（驱动防火墙）、csrss.exe（系统进程），如找到则强行结以上2个进程，病毒运行后自我删除，连接网络读取列表下载大量恶意文件到本地运行，经分析下载的文件多为盗号木马，给用户清理带来及大的不便！

行为分析：

本地行为：

1、文件运行后会释放以下文件：

%System32%\\ajfcaa.exe 13,028 字节

2、创建注册表病毒服务：

[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001

\\Enum\\Root\\LEGACY_GDABR\\0000\\Service]

注册表值: "gdabr"

类型： REG_SZ

值："Gdabr"

描述: 服务描述

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Gdabr\\Description]

注册表值: "DisplayName"

类型： REG_SZ

值："Gdabr"

描述: 服务描述

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Gdabr\\DisplayName]

注册表值: "DisplayName"

类型： REG_SZ

值：" Gdabr"

描述: 服务名称

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Gdabr\\ErrorControl]

注册表值: "ErrorControl"

类型： REG_SZ

值："DWORD: 1 (0x1)"

描述: 服务控制

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Gdabr\\ImagePath]

注册表值: "ImagePath"

类型： REG_SZ

值："\\??\\ C:\\DOCUME~1\\a\\LOCALS~1\\Temp\\ _temp.dat"

描述: 服务映像文件的启动路径

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Gdabr\\Start]

注册表值: "Start"

类型： REG_SZ

值："DWORD: 3 (0x3)"

描述: 服务的启动方式，手动

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Gdabr\\Type]

注册表值: "Type"

类型： REG_SZ

值："DWORD: 1 (0x1)"

描述: 服务类型

3、映像劫持多款安全软件:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options\\被映像劫持的文件名称]

新建键值: "Debugger"

类型： REG_SZ

字符串： “ntsd -d”

劫持文件名列表：

360rpt.exe、360safebox.exe、360tray.exe、adam.exe、

AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、

avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、

avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、

FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、

idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、

KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、

KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、

KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、

KMFilter.exe、KPFW32.exe、kpfwsvc.exe、、KPPMain.exe、KRegEx.exe、

KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KVFW.EXE、

KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、

KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、

kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、

mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、nod32krn.exe、

NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、

qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、rav.exe、

RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、

ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、

FYFireWall.exe、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、

rfwstub.exe、rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、

safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、

SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、

TrojanDetector.exe、Trojanwall.exe、、TrojDie.kxp、

UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、

UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、

webscanx.exe、WinDbg.exe、WoptiClean.exe、OllyDBG.EXE、OllyICE.EXE

4、遍历进程查找是否存在一下进程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程。

5、调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\\drivers\\目录下的beep.sys文件删除，并创建一个同名的文件作为病毒服务，创建dat文件到C:\\DOCUME~1\\a\\LOCALS~1\\Temp临时目录下，创建注册表病毒服务，等待加载完毕后将dat文件删除。

6、利用ZwQuerySystemInformation()枚举内核模块，遍历进程查找：DrvAnti.exe（驱动防火墙）、csrss.exe（系统进程），如找到则强行结以上2个进程。

网络行为:

协议：TCP

端口：80

连接服务器名：http://ccc.awer****.cn/txt.txt

IP地址：121.10.113.***

描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容：

http://cao.gm****.com/cao/aa1.exe

http://cao.gm****.com/cao/aa2.exe

http://cao.gm****.com/cao/aa3.exe

http://cao.gm****.com/cao/aa4.exe

http://cao.gm****.com/cao/aa5.exe

http://cao.gm****.com/cao/aa6.exe

http://cao1.gm****.com/cao/aa7.exe

http://cao1.gm****.com/cao/aa8.exe

http://cao1.gm****.com/cao/aa9.exe

http://cao1.gm****.com/cao/aa10.exe

http://cao1.gm****.com/cao/aa11.exe

http://cao1.gm****.com/cao/aa12.exe

http://cao2.gm****.com/cao/aa13.exe

http://cao2.gm****.com/cao/aa14.exe

http://cao2.gm****.com/cao/aa15.exe

http://cao2.gm****.com/cao/aa16.exe

http://cao2.gm****.com/cao/aa17.exe

http://cao2.gm****.com/cao/aa18.exe

http://cao3.gm****.com/cao/aa19.exe

http://cao3.gm****.com/cao/aa20.exe

http://cao3.gm****.com/cao/aa21.exe

http://cao3.gm****.com/cao/aa22.exe

http://cao3.gm****.com/cao/aa23.exe

http://cao3.gm****.com/cao/aa24.exe

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是C:\\Windows\\System

windowsXP中默认的安装路径是C:\\Windows\\System32

清除方案：

1 、使用安天防线可彻底清除此病毒(推荐)，安天防线下载地址：http://www.antiyfx.com/download.htm 。

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用ATOOL“进程管理”关闭病毒相关进程，ATOOL下载地址：http://www.antiy.com/freetools/atool.htm 。

(2)强行删除病毒文件：

%System32%\\ajfcaa.exe （随机6位小写字母病毒名）

(3)删除病毒服务注册表及映像劫持项：

[HKEY_LOCAL_MACHINE\\SYSTEM

\\CurrentControlSet\\Enum\\Root

\\LEGACY_MHFP\\0000\\Service]

键值："gdabr"

删除gdabr键值

[HKEY_LOCAL_MACHINE\\SYSTEM

\\CurrentControlSet\\Services]

键值："gdabr"

删除gdabr键值

[HKEY_LOCAL_MACHINE\\SOFTWARE

\\Microsoft\\Windows NT\\CurrentVersion]

键值："Image File Execution Options"

删除注册表Image File Execution Options键值