病毒标签

　　病毒名称： Trojan-GameThief.Win32.OnLineGames.tqwb

　　病毒类型： 盗号木马

　　文件 MD5： 06B970B8D784FC56EB844EE1591C67C2

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 22,388 字节

　　感染系统： Windows98以上版本

　　开发工具： WinUpack 0.39 final -> By Dwing [Overlay]

　　病毒描述

　　该病毒为华夏2游游戏盗号木马，病毒运行后，释放病毒文件“19b5406.sys、2EF0D734.cfg、2EF0D734.dll”（随机病毒名）到%System32%目录下，创建病毒服务，添加病毒HOOK项，注册病毒CLSID值，查找%System32%目录下的VErCLSiD.exe文件，如找到则将其删除，调用函数将病毒DLL文件加载到内存中，试图注入到所有进程中，病毒运行完毕后删除自身，病毒驱动文件主要行为：恢复SSDT使卡巴主动防御失效，DLL文件主要行为：调用函数创建、开启病毒服务，利用全局钩子获取游戏键盘输入信息截取游戏账户信息，以URL方式发送到指定的地址中。

　　行为分析-本地行为

　　1、文件运行后会释放以下文件

　　%System32%drivers19b5406.sys

　　%System32%2EF0D734.cfg

　　%System32%2EF0D734.dll

　　2、创建病毒服务，添加病毒HOOK项，注册病毒CLSID值

　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{2EF0D734-21FD-4225-A1A2-BCD296182AAF}InprocServer32@

　　值: 字符串: "2EF0D734.dll"

　　描述：添加病毒DLL启动项

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{2EF0D734-21FD-4225-A1A2-BCD296182AAF}

　　描述：添加HOOK启动项

　　HKEY_LOCAL_MACHINESYSTEMControlSet001Services19b5406DisplayName