病毒描述：

病毒名稱    :  Trojan/PSW.OnLineGames.civl
文件MD5     :  2ca010b32efe6404b856734bba028d8e
文件大小    :  41,560字節
編寫環境    :  VC++6.0
是否加殼    :  是
 
 
文檔公開級別 ： 完全公開
 
 
病毒執行體描述：
 
    Trojan/PSW.OnLineGames.civl 是一款專門盜取網絡游戲“征途2”賬號的病毒，運行時會在系統的指定目錄釋放DLL文件，會利用消息鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲賬號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息，并在后臺將竊得的信息發送到駭客指定的站點（地址加密存放），致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。
 
 
病毒行為流程分析:
 
對病毒主程序的分析：
一． 查找名為“65”的資源，通過資源釋放的方式在%USERPROFILE%\Local Settings\Temp\目錄下釋放惡意DLL組件zt2.tmp，然后將zt2.tmp進行復制命名為zt2.tmp1。
二．在后臺調用rundll32.exe來執行zt2.tmp1的安裝。
三．在%USERPROFILE%\Local Settings\Temp\目錄下創建批處理程序del.bat來進行自刪除。
 
 
對惡意DLL組件zt2.tmp1的分析：
 
執行安裝的導出函數St：通過創建進程快照的方式來查找360安全衛士的進程360tray.exe，如果不存在360tray.exe，把自身復制到被感染計算機的%SystemRoot%\目錄下，重新命名為sys.tmp，在%USERPROFILE%\Local Settings\Temp\目錄下創建a.reg，修改注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs，向其中添加sys.tmp，來達到隨系統開機啟動的目的；如果存在360tray.exe，則創建進程快照來查找游戲運行時的進程zhengtu.dat，通過使用TerminateProcess來結束該進程，然后把自身復制到游戲安裝目錄下，重新命名為ecae.gs。
DLL程序zt2.tmp1安裝完成后，首先判斷是否注入到進程patchupdate.exe中，如果不是，說明已經注入到游戲主程序zhengtu.dat中，會讀取配置文件config.ini來獲得相關信息，然后創建兩個線程，通過Hook相關函數和內存截取等方式來進行盜號；如果注入到進程patchupdate.exe中，會查找“游戲安裝目錄\data”目錄下是否存在CheckMalicious.exe和trojankiller.exe，通過創建進程快照并使用TerminateProcess來結束以上兩個進程，然后刪除CheckMalicious.exe和trojankiller.exe。
 
程序運行釋放的文件：
%USERPROFILE%\ Local Settings\Temp\zt2.tmp
%USERPROFILE%\ Local Settings\Temp\zt2.tmp1
%SystemRoot%\sys.tmp
%USERPROFILE%\ Local Settings\Temp\a.reg
%USERPROFILE%\ Local Settings\Temp\del.bat
 
修改注冊表：
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
 
病毒技術要點：
 
Trojan/PSW.OnLineGames.civl病毒是一款典型的網絡游戲盜號木馬，在與殺軟對抗的過程中未用到驅動級操作，在應用層進行了很好的策略操作。在保證其網絡開機自動運行的情況下，對機器本身并無其他操作，行為上看無明顯病毒特征。
修改注冊表達到惡意DLL的自啟動暴露了其是一個病毒；通過Hook相關函數和內存截取的方法來進行盜號。
 
病毒清理流程：
 
進入安全模式
刪除%USERPROFILE%\ Local Settings\Temp\目錄下的zt2.tmp、zt2.tmp1、a.reg。
刪除%SystemRoot%\目錄下的sys.tmp。
打開注冊表，找到HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs，刪除其中數據sys.tmp。
 
重新啟動系統。