木马Trojan-PSW.Win32.OnLineGames.hwt

木马Trojan-PSW.Win32.OnLineGames.hwt

病毒分析：

该病毒为木马类，病毒运行后复制自身到系统目录，衍生病毒文件，并删除自身。
修改注册表，添加启动项，以达到随机启动的目的。禁用Windows自动更新与防火墙功
能，以降低系统安全性。以kvdxsima.dll插入到大话西游3进程中进行游戏信息获取并
回传。行为分析：
本地行为：

1、文件运行后会释放以下文件：

　　　　%WinDir%\Fonts\ardasase.fon 　　　　115 字节
　　　　%WinDir%\Fonts\kvdxsicf.dll 　　　　117 字节
　　　　%System32%\kvdxsiis.exe 　　　　　　15,046字节
　　　　%System32%\kvdxsima.dll 　　　　　　23,916字节

　　　　删除系统verclsid.exe文件，该文件会在WindowsShell
　　　　或Windows资源管理器实例化任何外壳扩展之前对这些扩展
　　　　进行验证：
　　　　%System32%\verclsid.exe 　　　　　　28,672字节
　　　　
2、新建注册表：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE
　　　　\Classes\CLSID\{9D561258-45F3-A451
　　　　-F908-A258458226D9}\InprocServer32]
　　　　注册表值："@"
　　　　类型： REG_SZ
　　　　值： "C:\WINDOWS\system32\kvdxsima.dll"
　　　　描述：添加启动项，以达到随机启动的目的

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE
　　　　\Microsoft\Windows\CurrentVersion
　　　　\Explorer\ShellExecuteHooks]
　　　　注册表值："{9D561258-45F3-A451-F908-A258458226D9}"
　　　　类型： REG_SZ
　　　　值： "kvdxsima.dll"
　　　　描述：添加启动项，以达到随机启动的目的

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Policies
　　　　\Microsoft\Windows\WindowsUpdate\AU]
　　　　注册表值："NoAutoUpdate "
　　　　类型： DWORD
　　　　值： 1 (0x1)
　　　　描述：关闭自动更新

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　　　　\Services\SharedAccess\Parameters
　　　　\FirewallPolicy\StandardProfile]
　　　　注册表值：" EnableFirewall"
　　　　类型： DWORD
　　　　值： 0 (0)
　　　　描述：禁用Windows防火墙　　　　

3、将kvdxsima.dll插入到EXPLORER.EXE进程和其它应用程序进程中，
　 进行键盘记录，信息收集；并监视是否有大话西游3进程，如有则将
　 kvdxsima.dll插入进程中，以盗取其游戏信息。

4、通过恶意网站、其它病毒/木马下载传播；该病毒可以盗取用户大话
　 西游3的账号与密码。
　　　　
网络行为：

1、信息收集完成后，便回传收集到的信息，回传Url地址为：

　　　　Url1=http://www.20071****.com/dahua3/ake66666/post.asp
　　　
　--------------------------------------------------------------------------------

清除方案：
1 、使用安天木马防线可彻底清除此病毒(推荐)，
　 　请到安天网站下载：www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　推荐使用ATool（安天安全管理工具），
　 　ATool下载地址:www.antiy.com或
　 　http://www.antiy.com/download/index.htm 。
　 　 (1)使用安天木马防线或ATool中的“进程管理”
　 　 　 卸载插入到EXPLORER.EXE进程和其它应用程序
　 　 　 进程中的kvdxsima.dll
　 　 (2)强行删除病毒文件：
　 　 　 %WinDir%\Fonts\ardasase.fon 115 字节
　 　 　 %WinDir%\Fonts\kvdxsicf.dll 117 字节
　 　 　 %System32%\kvdxsiis.exe 15,046字节
　 　 　 %System32%\kvdxsima.dll 23,916字节
　 　 (3)删除病毒添加的注册表项：
　 　 　 [HKEY_LOCAL_MACHINE\SOFTWARE
　 　 　 \Classes\CLSID\{9D561258-45F3-A451
　 　 　 -F908-A258458226D9}\InprocServer32]
　 　 　 注册表值："@"
　 　 　 类型： REG_SZ
　 　 　 值： "C:\WINDOWS\system32\kvdxsima.dll"
　 　 　 [HKEY_LOCAL_MACHINE\SOFTWARE
　 　 　 \Microsoft\Windows\CurrentVersion
　 　 　 \Explorer\ShellExecuteHooks]
　 　 　 注册表值："{9D561258-45F3-A451-F908-A258458226D9}"
　 　 　 类型： REG_SZ
　 　 　 值： "kvdxsima.dll"
　 　 　 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies
　 　 　 \Microsoft\Windows\WindowsUpdate\AU]
　 　 　 注册表值："NoAutoUpdate "
　 　 　 类型： DWORD
　 　 　 　 　 　 值： 1 (0x1)
　 　 　 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　 　 　 \Services\SharedAccess\Parameters
　 　 　 \FirewallPolicy\StandardProfile]
　 　 　 注册表值：" EnableFirewall"
　 　 　 类型： DWORD
　 　 　 值： 0 (0)

www.newjian.com