对“PTSShell.exe”病毒文件的分析

报告名称：对“PTSShell.exe”病毒文件的分析

报告类型：病毒分析播报

分析PTSShell.exe文件：

Trojan/PSW.OnLineGames变种

编译器：可能是汇编编写或VC++6.0编写，不确定。

加壳：Upack 0.2x -> Dwing *

脱壳后程序入口点为：0000FD1D

脱壳前文件大小：16,794 字节

脱壳后文件大小：95,744 字节

自我复制：

C:\\windows\\PTSShell.exe

释放：

C:\\windows\\system32\\PTSShell.dll

注册表启动：

KEY_ALL_ACCESS

SoftWare\\Microsoft\\Windows\\CurrentVersion\\RUN

C:\\windows\\PTSShell.exe

会把释放出来的DLL插入到系统“explorer.exe”进程中加载运行：

explorer.exe

-----------------------------------------------------------------------------------

分析PTSShell.dll文件：

Trojan/PSW.OnLineGames变种

编译器：Microsoft Visual C++ 6.0 DLL。

未加壳。

文件大小：27,648 字节。

文件信息：

.\\QQLogin.exe

UpdateOnline.EXE

QQhxgame.exe

盗取“QQ华夏”网络游戏帐号、密码等信息：

QQhxgame.exe

木马发信地址(网址在程序文件中加密存放)：

http://www.niudvd.com/kafeimao/l ... s&p=%s&p2P?

http://www.niudvd.com/xinpotian/ ... s&s=%s&u=%s