qq幻想盗号程序

Trojan-PSW.Win32.OnLineGames.emvu

捕获时间

2010-12-18

危害等级

中

病毒症状

  该样本是使用“C/C ”编写的木马程序，由微点主动防御软件自动捕获，采用"upx"加壳躲避杀软查杀，长度为“24,464”字节，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的是盗取用户qq幻想世界网游的"账号"、"密码"。
　　用户中毒后，会出现系统运行缓慢、qq幻想世界网游"账号""密码"被盗等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载
手动解决办法：

运行系统到安全模式下，删除以下文件：
%Temp%\22046609n18.dll（随机命名）
游戏安装目录\TCLS\LPK.dll
游戏安装目录\TCLS\qqsginit.dll
游戏安装目录\TCLS\syswim.dll


变量声明：

%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”
病毒分析

（1）创建系统快照枚举进程，查找当前系统是否运行qqhxsj.exe、Client.exe进程，以及枚举以下注册表项所指向数据，来判断用户系统是否运行过"qq幻想世界"游戏，若有运行过则获取游戏的安装目录.

（2）若未从注册表获取游戏目录，则枚举进程查找avp.exe、RvMonD.exe、360rp.exe、360safe.exe、360tray.exe等杀软进程，若发现以上进程的运行，则搜索磁盘查找qqhxsj.exe文件来找到"qq幻想世界"游戏的安装目录。

（3）若通过以上手段获取游戏安装目录之后，则复制%SystemRoot%\system32\LPK.DLL到游戏安装目录下的TCLS文件夹下并更名为syswim.dll，从自身资源释放动态链接库qqsginit.dll、LPK.dll相同目录下，设置动态链接库文件属性为系统隐藏，实现对系统动态链接库LPK.dll的劫持，达到游戏进程被动加载qqsginit.dll的目的。

（4）若在未获得游戏安装目录，且未发现用户系统有杀软进程运行时，则释放动态链接库22046609n18.dll(随机命名)到%Temp%目录下,并设置文件属性为系统隐藏，创建全局钩子将动态链接库注入到用户系统的所有进程。

（5）完成以上行为之后，木马程序通过命令行的方式，删除自己。

（6）qqsginit.dll、22046609n18.dll被加载后，根据自身注入的进程的名称，做出相应的动作，发现注入进程为liveupdate.exe(游戏更新进程)时，则获取游戏安装目录实施(3)步骤；发现注入进程为qqhxsj.exe时，则通过读取内存等手段获取游戏的"账号""密码"，利用"收信空间的方式"将所盗取信息发送到黑客指定的网址。

病毒创建文件：

%Temp%\22046609n18.dll（随机命名）
游戏安装目录\TCLS\LPK.dll
游戏安装目录\TCLS\qqsginit.dll
游戏安装目录\TCLS\syswim.dll

qq幻想盗号程序

Trojan-PSW.Win32.OnLineGames.emvu

捕获时间

2010-12-18

危害等级

中

病毒症状

  该样本是使用“C/C ”编写的木马程序，由微点主动防御软件自动捕获，采用"upx"加壳躲避杀软查杀，长度为“24,464”字节，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的是盗取用户qq幻想世界网游的"账号"、"密码"。
　　用户中毒后，会出现系统运行缓慢、qq幻想世界网游"账号""密码"被盗等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载
手动解决办法：

运行系统到安全模式下，删除以下文件：
%Temp%\22046609n18.dll（随机命名）
游戏安装目录\TCLS\LPK.dll
游戏安装目录\TCLS\qqsginit.dll
游戏安装目录\TCLS\syswim.dll


变量声明：

%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”
病毒分析

（1）创建系统快照枚举进程，查找当前系统是否运行qqhxsj.exe、Client.exe进程，以及枚举以下注册表项所指向数据，来判断用户系统是否运行过"qq幻想世界"游戏，若有运行过则获取游戏的安装目录.

（2）若未从注册表获取游戏目录，则枚举进程查找avp.exe、RvMonD.exe、360rp.exe、360safe.exe、360tray.exe等杀软进程，若发现以上进程的运行，则搜索磁盘查找qqhxsj.exe文件来找到"qq幻想世界"游戏的安装目录。

（3）若通过以上手段获取游戏安装目录之后，则复制%SystemRoot%\system32\LPK.DLL到游戏安装目录下的TCLS文件夹下并更名为syswim.dll，从自身资源释放动态链接库qqsginit.dll、LPK.dll相同目录下，设置动态链接库文件属性为系统隐藏，实现对系统动态链接库LPK.dll的劫持，达到游戏进程被动加载qqsginit.dll的目的。

（4）若在未获得游戏安装目录，且未发现用户系统有杀软进程运行时，则释放动态链接库22046609n18.dll(随机命名)到%Temp%目录下,并设置文件属性为系统隐藏，创建全局钩子将动态链接库注入到用户系统的所有进程。

（5）完成以上行为之后，木马程序通过命令行的方式，删除自己。

（6）qqsginit.dll、22046609n18.dll被加载后，根据自身注入的进程的名称，做出相应的动作，发现注入进程为liveupdate.exe(游戏更新进程)时，则获取游戏安装目录实施(3)步骤；发现注入进程为qqhxsj.exe时，则通过读取内存等手段获取游戏的"账号""密码"，利用"收信空间的方式"将所盗取信息发送到黑客指定的网址。

病毒创建文件：

%Temp%\22046609n18.dll（随机命名）
游戏安装目录\TCLS\LPK.dll
游戏安装目录\TCLS\qqsginit.dll
游戏安装目录\TCLS\syswim.dll