[原创]病毒分析报告：msport.dll/fksdy.dll/wgptl.dll/wtrmm.dll/hreax.dll/game8.exe

查看文章

2007-05-20 12:15

病毒名称：game8.exe

病毒大小：26,154 字节

加壳方式：Upack 0.3.9 beta2s -> Dwing [Overlay]

脱壳大小：88,064 字节

编写语言：Borland Delphi v3.0 *

病毒预警：3级

病毒指纹：

SHA-160          : 406414F2773FFC68B7E6A072042DD87FB7133904
MD5              : E069C3EF0C41B86AB48D00BE66D097DD
RIPEMD-160       : 4A96D08DFE08B0DF44E7FDC60DA75825CC10AFDF
CRC-32           : C86EC7DA

命名对照：

http://scanner.virus.org/

ArcaVir 1.0.4 Trojan.Psw.Onlinegames.Tu 3.39794 secs

avast! 3.0.0 Clean 0.00478077 secs

AVG Anti Virus 7.5.47 Clean 2.68099 secs

BitDefender 7.1 Clean 4.70251 secs

CAT QuickHeal 9.00 Clean 4.4323 secs

ClamAV 0.90/3270 Clean 0.208995 secs

Dr. Web 4.33.0 Clean 8.75378 secs

F-PROT 4.6.7 Clean 1.62262 secs

F-Secure 1.02 Clean 0.209508 secs

H+BEDV AntiVir 2.1.10-40 Clean 6.05688 secs

McAfee Virusscan 5.10.0 New Malware.n 1.95304 secs

NOD32 2.51.1 Clean 3.49587 secs

Norman Virus Control 5.70.01 W32/Suspicious_U.gen 6.74328 secs

Panda 9.00.00 Clean 1.56817 secs

Sophos Sweep 4.17.0 Mal/Packer 5.28013 secs

Trend Micro 8.310-1002 Clean 0.499315 secs

VBA32 3.12.0 Clean 2.82012 secs

VirusBuster 1.3.3 Packed/Upack 2.1315 secs

http://www.virustotal.com

AhnLab-V3 2007.5.16.1 05.18.2007 no virus found

AntiVir 7.4.0.23 05.18.2007 no virus found

Authentium 4.93.8 05.18.2007 no virus found

Avast 4.7.997.0 05.18.2007 no virus found

AVG 7.5.0.467 05.19.2007 no virus found

BitDefender 7.2 05.20.2007 no virus found

CAT-QuickHeal 9.00 05.18.2007 (Suspicious) - DNAScan

ClamAV devel-20070416 05.19.2007 no virus found

DrWeb 4.33 05.19.2007 no virus found

eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm

eTrust-Vet 30.7.3644 05.19.2007 no virus found

Ewido 4.0 05.19.2007 Trojan.OnLineGames.tu

FileAdvisor 1 05.20.2007 no virus found

Fortinet 2.85.0.0 05.20.2007 suspicious

F-Prot 4.3.2.48 05.18.2007 no virus found

F-Secure 6.70.13030.0 05.18.2007 W32/Suspicious_U.gen.dropper

Ikarus T3.1.1.7 05.20.2007 Trojan-Dropper.Win32.Agent.ane

Kaspersky 4.0.2.24 05.20.2007 Trojan-PSW.Win32.OnLineGames.tu

McAfee 5034 05.18.2007 New Malware.n

Microsoft 1.2503 05.20.2007 VirTool:Win32/Obfuscator.C

NOD32v2 2277 05.18.2007 no virus found

Norman 5.80.02 05.18.2007 W32/Suspicious_U.gen

Panda 9.0.0.4 05.19.2007 Suspicious file

Prevx1 V2 05.20.2007 no virus found

Sophos 4.17.0 05.18.2007 Mal/Packer

Aditional Information
File size: 26154 bytes
MD5: e069c3ef0c41b86ab48d00be66d097dd
SHA1: 406414f2773ffc68b7e6a072042dd87fb7133904
packers: UPACK

文章作者：[G-AVR]孤单每一天

文章地址：http://hi.baidu.com/renlangliu/blog/item/8cb8094c7c0369f8d72afc2a.html

测试平台：win2000PROSP4+VM

病毒运行后释放msport.dll/fksdy.dll/wgptl.dll/wtrmm.dll/hreax.dll到%systemroot%\system32目录下，调用SetWindowsHookEx函数挂接explorer.exe，使得父进程为explorer.exe启动的的进行全部进行注入，并添加注册表启动项，释放批处理文件删除病毒自身。病毒使用了线程互守，使得单线程无法被结束，rootkit自身的注册表启动项，达到无法找出启动项的目的（有启动项存在，键值为空）

注册表启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}><C:\WINNT\system32\msacn.dll>

反汇编察看似乎病毒有操作ｈｏｓｔ文件的行为，2000下没有运行成功

.Upack:004030FA mov ecx, offset s_DriversEtcHos ; "drivers\\etc\\hosts"

病毒清除：

使用ＳＣ打开explorer.exe进程，选中“禁止线程创建”，全部选择以上的病毒线程，右键点击“全局卸载指定模块”即可清除该病毒，ＳＣ请到我的网盘下载，使用教程请参见以前的文章。

类别：病毒岁月 | 浏览() | 评论 (35)

网友评论：

2007-05-20 12:28 | 回复

GOOD！学习了~~~

2007-05-20 13:30 | 回复

好正规啊~~

2007-05-26 20:38 | 回复

sc是什么东西啊?你的网盘地址?最近中了这个毒.如果sc不大的话能否帮忙发送到我的邮箱?谢谢先

2007-05-26 20:40 | 回复

对了,我的邮箱是tiankunwudi@163.com.再次感谢.

2007-05-26 21:43 | 回复

以发送，请查收

2007-05-29 17:08 | 回复

大哥啊~~~还好我找到这来了~~~我都快被折磨死了~~~我的小破电脑啊-_-\\\ 我也想要那个syscheck 谢谢哦^O^

2007-05-29 17:18 | 回复

RE:6 邮箱地址都打错了，以发送，请查收

2007-05-29 17:22 | 回复

啊，我打错了吗？？？我打成什么了~~~忘了~~~=-=\\\ 谢谢哦！！！^O^

2007-05-31 12:08 | 回复

你好 ,我的电脑好像也中了这个病毒,杀毒软件老杀不干净能把那个什么SC发到我邮箱吗,非常感谢!!! 我的邮箱是runfa@163.com

2007-05-31 12:22 | 回复

re：9 已发送，请查收

2007-06-03 16:25 | 回复

good,病毒清除：使用ＳＣ打开explorer.exe进程，选中“禁止线程创建”，全部选择以上的病毒线程，右键点击“全局卸载指定模块”即可清除该病毒，ＳＣ请到我的网盘下载.......... 专业呀,能否帮忙发送ＳＣ到我的邮箱? 先谢谢了

2007-06-03 16:30 | 回复

(hello~~ 孤单每一天我的e-m是 f8899@126.com

2007-06-03 16:35 | 回复

hello~~ 孤单每一天,或告知你的网盘地址.谢了

2007-06-03 17:54 | 回复

RE:12 已发送，请查收

2007-06-04 10:16 | 回复

SC能发份给我吗？谢谢。Jammy.Berg@gmail.com

2007-06-04 10:54 | 回复

RE:15 已发送，请查收

2007-06-06 23:25 | 回复

好人。。叶请给我一份吧。。谢谢哈。。 3721web@163.com

2007-06-06 23:30 | 回复

RE:17 以发送，请查收麻烦您看一下这个帖子，给您带来的不便见谅： http://hi.baidu.com/renlangliu/blog/item/eaf1d813047eea22dd540108.html

2007-06-07 00:32 | 回复

我是17楼的。。已经提前看到了。。好人会有好报的。。以前的时候我曾经寻找过为什么学历会对人的影响怎么大。。后来我找到了。。原来是因为：国家政策。。正是因为这个原因很多的企业、单位才规定了那个学历。。那是一种肯定。。也是一块敲门砖。。但是也证明了一点。。水平还是不够高。。还没有让他们折服。。所以我们都要再努力一点。。都要再进步一点。。都要让他们折服。。共勉。。

2007-06-07 00:39 | 回复

真诚的谢谢您，借您的话；所以我们都要再努力一点。。都要再进步一点。。都要让他们折服。。共勉。。看过很受益，现在找到一份合适一点的工作，学历还得靠我自己，共勉！

2007-06-07 00:44 | 回复

注意身体。。我还有个软件要开发。。等这个月结束了。。也要奔赴北京找工作了。。或许和杀毒软件有关系。。也正在不断的努力中。。天天努力。。加油。。

2007-06-07 00:46 | 回复

呵呵，期待你的好消息

2007-06-07 00:52 | 回复

还有一句：对于女人。。她们的离开肯定是咱们的魅力不够。。所以要提高自己的魅力。。该打扮得打扮。。美女是喜欢帅哥的。。所以我们也要重视形象。。多多学习。。成就一番事业。。共勉。。继续学习。。

2007-06-07 11:50 | 回复

我也中了sc是什么啊太模糊也只能问你要了谢谢发给我

2007-06-07 11:58 | 回复

ＲＥ：已发送，请查收

2007-06-07 12:36 | 回复

刚才有一份病毒的样本给你发过去了。现在我这里已经删除了所有的木马和生成的文件。。但是还有一个c盘pagefile.sys的类型为隐藏的系统文件无法删除。。研究一下吧。。

2007-06-07 12:41 | 回复

进程中还有那个system用户名下的1hsrvc.exe。。这个进程只要一结束就蓝屏。。

2007-06-07 12:46 | 回复

pagefile.sys是虚拟内存文件，系统正常的用SREng扫描日志出来吧，方便看一下服务和进程，发我email就可以了

2007-06-07 12:49 | 回复

安全模式里面删除掉那个相关的服务，应该该程序使用了驻留内存的方法但不完善，所以结束后会蓝屏，安全模式里面相对还算脆弱，现在挂截ＡＰＩ的病毒挺多的，所以你应该检测一下SSDT

2007-06-07 13:10 | 回复

谢谢。。好人。。

2007-06-07 15:02 | 回复

版主的网盘打不开，能发一份给我吗？谢谢。

2007-06-07 16:45 | 回复

to:31楼以发送、请查收

2007-06-07 16:57 | 回复

谢谢了。

2007-06-08 15:39 | 回复

能把SC发到我邮箱bihaitai@163.com,非常感谢

2007-06-08 16:09 | 回复

RE:34 http://hi.baidu.com/renlangliu/blog/item/eaf1d813047eea22dd540108.html 此连接有常用工具下载

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复