病毒标签

　　病毒名称： Trojan-GameThief.Win32.OnLineGames.snxy

　　病毒类型： 盗号木马

　　文件 MD5： DA91C0236642E171667EE10E60CE8B3F

　　公开范围： 完全公开

　　危害等级： 3

　　文件长度： 23,263 字节

　　感染系统： Windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： Upack V0.37 -> Dwing [Overlay] *

　　病毒描述

　　该病毒为盗梦幻西游online游戏账号的木马，病毒运行后查找%System32%目录下的Verclsid.exe，找到将其删除，衍生病毒文件“mttwfh.dll”到%System32%目录下，添加注册表注册病毒CLSID值及HOOK启动项，遍历进程搜索“AVP.exe”，如找到则释放winsYs.reg文件，用来添加病毒HOOK启动项，如找不到“AVP.exe”进程，释放tf0文件到%System32%目录下，调用API对注册表添加病毒HOOK项，等待添加病毒HOOK项完毕后将tf0文件删除，调用LoadLibraryA将病毒DLL加载到进程，试图将病毒DLL文件注入到smss.exe、csrss.exe、winlogon.exe除外的所有进程，衍生的DLL文件主要功能：通过截获当前用户的键盘和鼠标消息以获取游戏的账号及密码，发送到病毒作者指定的URL。

　　行为分析-本地行为

　　1、文件运行后会释放以下文件

　　%system32%mttwfh.dll 　　　 275,968 字节

　　%system32%tf0 　　　 159,744 字节

　　%system32%winsYs.reg 　　　 171 字节

　　2、新增注册表项，创建CLSID值，添加到HOOK项启动

　　[HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{021F087F-4378-545F-74FA-37D345AD7A8C}InprocServer32]

　　注册表值: “@”

　　类型： REG_SZ

　　字符串："C:WINDOWSsystem32mttwfh.dll"