今天下载了烟草的芙蓉王,点开外挂以后,进入游戏自动关闭,然后我在线查毒,发现44款杀软中有17款报毒,其中有6项报有木马,2项报有后门,而不是烟草所说的什么壳报毒,他所说的什么壳报毒只不过是想以某些看似高明专业的术语来骗骗小白而已!
查毒报告如下:
然后某位达人推荐我使用360compkill查看是否有系统文件被修改。然后我点开外挂以后,运行360compkill,发现SYSTEM32下的COMRES.DLL被替换,然后我在GOOGLE上搜索COMRES.DLL,在安天网络上发现如下文字:
病毒标签
病毒名称: Trojan/Win32.OnLineGames.uuhu[GameThief]
病毒类型: 木马
文件 MD5: E164B4711EE7A77406A010E519ECB7E0
公开范围: 完全公开
危害等级: 3
文件长度: 15,136 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
病毒描述
该病毒为盗取网络游戏dnf游戏账号的木马,病毒运行后检测%System32%目录下是否存在*.dll文件,如果存在更改其文件名;复制系统文件sfc_os.dll,加载sfc_os.dll文件副本并调用其中相关函数禁用系统文件保护;移动系统文件comres.dll,尝试在系统目录和字体目录下分别衍生病毒文件comres.dll,在系统字体目录下衍生病毒文件gth60328.ttf;遍历进程列表查找巨人游戏客户端进程"dnf.exe",并将之关闭。调用comres.dll文件中的ins函数删除原始病毒文件。病毒不会对注册表进行操作,病毒通过替换系统文件comres.dll的方式来实现随机启动,被替换的comres.dll文件被加载后将截获用户信息调用gth60328.ttf文件将信息回传给病毒作者。
行为分析-本地行为
1、文件运行后会释放以下文件
%System32%ComRes.dll 11,264 字节
%Windir%fontsgth60328.ttf 25,088 字节
%Windir%fontsgth60328.fon 1,312 字节
%Windir%fontsComRes.dll 11,264 字节
2、拷贝系统文件
%System32%sfc_os.dll 拷贝到 %System32%mmsfc1.dll
%System32%rundll32.exe 拷贝到 %System32%gth60328.exe
3、移动系统文件
%System32%ComRes.dll 移动到 %System32%sysgth.dll
4、调用mmsfc1.dll文件中的5号导出函数(SetSfcFileException)禁用系统文件保护功能。
行为分析-网络行为
回传数据的参数有如下:
?do=send&game=60&inputsource=%s&%ver=328&zone=%s&server=%s&name=%s&pass=%s&passtwo=%s&role
=%s&lord=%s&level=%s&money=%u&goldcoin=%u&yb=%u&equipment=%s&bag=%s&mb=%d&mbtime=%d&hardware=%s&key=%s&store=%s
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% = C: 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
--------------------------------------------------------------------------------
清除方案
1、使用安天防线可彻底清除此病毒(推荐),请点击下载(
http://www.antiyfx.com/download.htm)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(
http://www.antiy.com/cn/download/atool.htm)。
(1) 使用atool中的“文件管理”强制删除病毒文件
%System32%ComRes.dll
(2) 重启系统后删除病毒文件
%Windir%fontsgth60328.ttf
%Windir%fontsgth60328.fon
%Windir%fontsComRes.dll
%System32%mmsfc1.dll
%System32%gth60328.exe
%System32%sysgth.dll
期间,我的QQ分别在异地(山东威海,山东枣庄)登录过两次,估计是用肉鸡登录的。。。
综合以上的各种情况,即:游戏自动关闭,在线报毒,系统文件被替换,而我的QQ又在异地异常登录。。。完全符合安天网络对此病毒的描述。希望你们能够严肃处理这起事件,我在DNF板块发的病毒报告直接被删贴了,这不很能说明问题吗?版主发毒贴,而我反馈有毒,然后就被删贴。。。 我觉得一个版主要有起码的职业道德才行,我很怀念以前的 独々存 大大,那才是有素质的人,就写到这里。
