出处:安天CERT 时间:2007-09-05 15:00

病毒标签:
 病毒名称: Trojan-PSW.Win32.OnLineGames.bfj
中文名称: 游戏盗号器
病毒类型: ***类
文件 MD5: E32A875BF518A9EF35CB8BAAAEA6DEE2
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前24,938 字节,脱壳后147,456 字节
感染系统: Win98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: Upack 0.3.9 beta2s -> Dwing
命名对照: AVG      [PSW.OnlineGames.HAX]
      BitDefender  [Generic.PWStealer.B01E251D]
      IKARUS     [Trojan-Dropper.Win32.Agent.ane]
 
病毒描述:
   该病毒运行后衍生病毒副本及其功能文件到系统目录下,修改完美世界、武林外传
和诛仙游戏的客户端程序elementclient.exe 名为elemontclient.exe,并设置其属性为
隐藏,用病毒副本替换elementclient.exe,以达到启动病毒体的目的。使用Hook方法注
入病毒 dll 文件到进程中,查找名称为 Element Client 登陆窗口,盗取用户敏感信息
发送出去。
 
行为分析:
 本地行为:
1、文件运行后会释放以下文件:
    %WinDir%\kulionzx.dll               24,938 字节
    %WinDir%\kulionzx.exe               28,160 字节
2、连接网络发送信息:
    209.162.178.**:80(仅适用于本样本)
    发送信息参数:
    User= 用户名 &pass = 密码 & ser = 服务器名 _ 网络连接 &cangku =
    仓库密码&beizhu = 备注 &rw = 等级 &pcname = 计算机名
3、此样本在病毒程序API调用中留有以下参数:
     DAHESHANGGENGXIN
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32       
 
  
--------------------------------------------------------------------------------
清除方案:
1 、使用安天***防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用安天***防线“进程管理”关闭病毒进程:
        elementclient.exe
    (2)重新启动计算机。                
    (3)删除病毒文件:
        %WinDir%\kulionzx.dll
        %WinDir%\kulionzx.exe