【IT168 专稿】该恶意代码为永恒之塔游戏盗号木马,病毒运行之后动态加载"Kernel32.dll"系统库文件,遍及进程查找aion.bin(永恒之塔游戏)进程,如找不到则调用函数查找aion client的窗口并向窗口发送关闭消息,找到之后强行结束该进程,并释放病毒文件到%Temp%临时目录下并拷贝一份到%System32%目录下,拷贝%System32%与%System32%\DllCache\目录下的perfctrs.dll分别命名为perfctrs.dll.rep、perfctrs.dll.bak,动态加载sfc_os.dll系统库文件调用该库中的#5序号函数去掉对perfctrs.dll、d3d9.dll文件的保护,判断文件第一个节是否是.text,如果是则开始感染,感染完毕后将perfctrs.dll.rep、perfctrs.dll.bak、d3d9.bak改为原文件名并删除之前备份的文件,游戏运行后会调用这2个库文件因此这2个被感染的库文件具有盗号行为,病毒衍生文件通过遍历进程查找playnclauncher.exe进程和遍历窗体查找含有“aion引导程序”文字窗体,找到后安装键盘消息钩子截取游戏账号密码通过URL方式发送到作者指定的地址中,病毒运行完毕后使用CMD命令删除自身。
行为分析-本地行为
1、病毒运行后衍生文件到以下目录
%Windir%\system\Tob1.tmp
%Documents and Settings%\当前所在用户\Local Settings\Temp\Tob1.tmp
2、感染%System32%目录下的"d3d9.dll"、"perfctrs.dll"文件,当游戏运行后会加载该2个系统库文件,被感染的文件具有盗号行为,然后达到不添加注册表项绕过杀毒软件查杀。
3、病毒运行之后动态加载"Kernel32.dll"系统库文件,遍及进程查找aion.bin(永恒之塔游戏)进程,如找不到则调用函数查找aion client的窗口并向窗口发送关闭消息,找到之后强行结束该进程。
4、动态加载sfc_os.dll系统库文件调用该库中的#5序号函数去掉对perfctrs.dll、d3d9.dll文件的保护,判断文件第一个节是否是.text,如果是则开始感染,感染完毕后将perfctrs.dll.rep、perfctrs.dll.bak、d3d9.bak改为原文件名并删除之前备份的文件,游戏运行后会调用这2个库文件因此这2个被感染的库文件具有盗号行为。
5、病毒衍生文件通过遍历进程查找playnclauncher.exe进程和遍历窗体查找含有“aion引导程序”文字窗体,找到后安装键盘消息钩子截取游戏账号密码通过URL方式发送到作者指定的地址中。
行为分析-网络行为
数据传输的参数有如下几种形式
%s?action=dropoff&u=%s
清除方案
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)重启电脑进入安全模式下将%System32%\DllCache\目录下的perfctrs.dll.bak、d3d9.dll.bak拷贝到%System32%目录下重命名为:perfctrs.dll、d3d9.dll覆盖被感染的文件。
(2)删除病毒衍生的文件
%Windir%\system\Tob1.tmp
%Documents and Settings%\当前所在用户\Local Settings\Temp\Tob1.tmp