木马PSW.Win32.OnLineGames.ise分析

　　病毒名称： Trojan-PSW.Win32.OnLineGames.ise

　　病毒类型： 盗号木马

　　文件 MD5：61a6d5c9591d8d754b0282845dfca4f0

　　文件长度： 16,748 字节

　　感染系统： Windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： Upack V0.37 -> Dwing *

　　病毒描述：

　　该病毒属盗盛大通行证类木马。病毒运行后，复制自身到%windir%MsIMMs32.exE,并衍生病毒文件到%system32%目录下重命名为MsIMMs32.dll;将释放的文件MsIMMs32.dll插入到系统进程explorer.exe中,并删除自身,尝试关闭mcafee、江民等杀毒软件相关进程，添加注册表启动项，以达到随机启动的目的，该病毒盗取用户的盛大通行证的账号与密码。

　　行为分析：

　　1、文件运行后会释放以下文件

　　　%windir%MsIMMs32.exE16,748字节
　　%system32%MsIMMs32.dll29,184字节

　　2、新增注册表启动项

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　新建键值: 字串: "MsIMMs32"="C:WINDOWSMsIMMs32.exE"

　　描述: 添加注册表启动项，使病毒达到开机自启动。

　　3、病毒释放的文件MsIMMs32.dll插入到系统进程explorer.exe中。

　　4、尝试关闭mcafee、江民等杀毒软件相关进程：

　　　ravmon.exe
　　KWatchSvc
　　KPfwSvc
　　McShield
　　DefWatch
　　kvsrvxp
　　McAfeeFramework
　　McTaskManager
　　NortonAntiVirusServer

　　5、该病毒盗取用户的盛大通行证的账号与密码：

　　回传格式：

%s?lk=%s&a=%s&s=%s&u=%s&p=%s&sp=%s&r=%s&l=%s&m=%s&gc=%s&sc=%s

　　注：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动的系统的所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% Documents and Settings

　　当前用户Local SettingsTemp

　　%System32% 系统的 System32文件夹

　　Windows2000/NT中默认的安装路径是C:WinntSystem32

　　Windows95/98/me中默认的安装路径是C:WindowsSystem

　　WindowsXP中默认的安装路径是C:WindowsSystem32

　　代码分析

　　1、复制自身衍生病毒文件

　　2、插入explorer.exe进程

　　3、尝试以下关闭相关进程：

　　4、添加注册表启动项

　　5、信息回传格式

　　清除方案：

　　1、使用安天木马防线可彻底清除此病毒(推荐)。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　(1) 使用安天木马防线“进程管理”卸除所有加载到当前用户进程中的病毒文件

　　(2) 结束explorer.exe进程

　　(3) 删除病毒文件

　　%windir% MsIMMs32.exE

　　%system32%MsIMMs32.dll

　　(4) 删除病毒添加的注册表项

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　新建键值: 字串: "MsIMMs32"="C:WINDOWSMsIMMs32.exE"