簡單描述：

該病毒會通過替換系統(tǒng)“rpcss.dll”文件來實現(xiàn)開機自啟動。是一個專門竊取QQ網(wǎng)絡(luò)游戲帳號的木馬程序。同時，它還會竊取QQ網(wǎng)絡(luò)游戲用戶的密碼保護資料。

中毒現(xiàn)象：

1、殺毒后系統(tǒng)不能上網(wǎng)。

2、殺毒后系統(tǒng)粘貼功能失效。

3、殺毒后系統(tǒng)任務(wù)欄上的部分信息不能正常顯示。

4、殺毒后系統(tǒng)桌面程序“explorer.exe”啟動非常慢，等好長時間才能顯示出來桌面。

病毒主程序“TrojanSpy.OnLineGames.iyo”部分的分析：

釋放惡意DLL組件：

ASCII "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~ddc967.tmp" 文件大?。?4,816 字節(jié)，文件名稱隨機。

病毒主程序通過“rundll32.exe”進程調(diào)用運行病毒釋放出來的DLL組件文件：

00402209 FF15 00204000 CALL DWORD PTR DS:[402000] ; kernel32.CreateProcessA

0012FC18 00000000 |ModuleFileName = NULL

0012FC1C 0012FCB4 |CommandLine = "rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~ddc967.tmp INS C:\Documents and Settings\Administrator\桌面\new13.10260422.exe"

0012FC20 00000000 |pProcessSecurity = NULL

0012FC24 00000000 |pThreadSecurity = NULL

0012FC28 00000000 |InheritHandles = FALSE

0012FC2C 00000000 |CreationFlags = 0

0012FC30 00000000 |pEnvironment = NULL

0012FC34 00000000 |CurrentDir = NULL

0012FC38 0012FC44 |pStartupInfo = 0012FC44

0012FC3C 0012FC88 \pProcessInfo = 0012FC88

病毒主程序在被感染計算機系統(tǒng)中安裝完畢后會自我刪除。

病毒釋放組件“~ddc967.tmp”部分的分析：

采用高級語言編寫，可能加殼。

該DLL組件一般會被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系統(tǒng)進程，以及幾乎所有用戶級權(quán)限的進程中加載運行，并在被感染計算機系統(tǒng)的后臺執(zhí)行惡意操作，隱藏自我，防止被用戶發(fā)現(xiàn)、被安全軟件查殺。

1、插入系統(tǒng)進程“csrss.exe”：

監(jiān)視DLL組件是否被調(diào)用，如果發(fā)現(xiàn)不存在(發(fā)現(xiàn)被關(guān)閉掉)則重新調(diào)用，達到自我保護的目的。

2、插入系統(tǒng)進程“explorer.exe”：

調(diào)用病毒組件“C:\WINDOWS\system32\gdipro.dll”運行。躲避安全軟件主動防御和監(jiān)控等，達到自我保護的目的。

3、插入系統(tǒng)進程“svchost.exe”：

(1)、自我復制為“C:\WINDOWS\system32\gdipro.dll”

(2)、通過“sfc_os.dll”來去除系統(tǒng)“C:\WINDOWS\system32\rpcss.dll”文件的保護：

10012D03 FF15 C0200110 CALL DWORD PTR DS:[<&KERNEL32.LoadLibrar>; kernel32.LoadLibraryA

0006F340 10012B2C \FileName = "sfc_os.dll"

10012D10 FF15 C4200110 CALL DWORD PTR DS:[<&KERNEL32.GetProcAdd>; kernel32.GetProcAddress

0006F33C 76C30000 |hModule = 76C30000 (sfc_os)

0006F340 00000005 \ProcNameOrOrdinal = #5

10012D38 FFD6 CALL ESI ; sfc_os.#5

0006F338 00000000

0006F33C 0006F348 UNICODE "C:\WINDOWS\system32\rpcss.dll"

(3)、用“DeleteFileA”刪除系統(tǒng)文件“C:\WINDOWS\system32\..\ServicePackFiles\i386\rpcss.dll”和“C:\WINDOWS\system32\dllcache\rpcss.dll”。

(4)、用“MoveFileExA”移動系統(tǒng)文件“C:\WINDOWS\system32\rpcss.dll”到“C:\WINDOWS\system32\srpcss.dll”處。

10012E0D FF15 BC200110 CALL DWORD PTR DS:[<&KERNEL32.MoveFileEx>; kernel32.MoveFileExA

0006F45C 0006F67C |ExistingName = "C:\WINDOWS\system32\rpcss.dll"

0006F460 0006F578 |NewName = "C:\WINDOWS\system32\srpcss.dll"

0006F464 00000001 \Flags = REPLACE_EXISTING

(5)、用病毒釋放出來的DLL組件文件“C:\WINDOWS\system32\gdipro.dll”來替換系統(tǒng)文件“C:\WINDOWS\system32\rpcss.dll”。

(6)、用“GetFileTime”、“SetFileTime”獲取系統(tǒng)文件時間并重新設(shè)置被病毒替換后的DLL組件文件“C:\WINDOWS\system32\rpcss.dll”的時間(創(chuàng)建和修改日期)，達到更好的自我隱藏的目的。

(7)、釋放DLL組件“C:\WINDOWS\system32\sys17002.dll”(文件大?。?3,040 字節(jié))。

(8)、用“GetFileTime”、“SetFileTime”獲取系統(tǒng)文件時間并重新設(shè)置被病毒替換后的DLL組件文件“C:\WINDOWS\system32\sys17002.dll”的時間(創(chuàng)建和修改日期)，達到更好的自我隱藏的目的。

(9)、提升服務(wù)的權(quán)限，把“NT AUTHORITY\NetworkService”改為最高權(quán)限“LocalSystem”：

10013313 FF15 18200110 CALL DWORD PTR DS:[<&ADVAPI32.RegOpenKey>; ADVAPI32.RegOpenKeyExA

0006F754 80000002 |hKey = HKEY_LOCAL_MACHINE

0006F758 0006F770 |Subkey = "SYSTEM\CurrentControlSet\Services\rpcss"

0006F75C 00000000 |Reserved = 0

0006F760 000F003F |Access = KEY_ALL_ACCESS

0006F764 0006F878 \pHandle = 0006F878

10013340 FFD7 CALL EDI ; ADVAPI32.RegSetValueExA

0006F74C 10013342 /CALL 到 RegSetValueExA 來自 gdipro.10013340

0006F750 00000080 |hKey = 80

0006F754 10012C30 |ValueName = "ObjectName"

0006F758 00000000 |Reserved = 0

0006F75C 00000002 |ValueType = REG_EXPAND_SZ

0006F760 10012C3C |Buffer = gdipro.10012C3C(LocalSystem)

0006F764 0000000C \BufSize = C (12.)

10013352 FF15 10200110 CALL DWORD PTR DS:[<&ADVAPI32.RegOpenKey>; ADVAPI32.RegOpenKeyA

0006F75C 00000080 |hKey = 80

0006F760 10012C24 |Subkey = "Parameters"

0006F764 0006F874 \pHandle = 0006F874

10013372 FFD7 CALL EDI ; ADVAPI32.RegSetValueExA

0006F74C 10013374 /CALL 到 RegSetValueExA 來自 gdipro.10013372

0006F750 00000084 |hKey = 84

0006F754 10012C18 |ValueName = "ServiceDll"

0006F758 00000000 |Reserved = 0

0006F75C 00000002 |ValueType = REG_EXPAND_SZ

0006F760 10011404 |Buffer = gdipro.10011404(C:\WINDOWS\system32\rpcss.dll)

0006F764 00000038 \BufSize = 38 (56.)

(10)、“CreateRemoteThread”利用創(chuàng)建遠線程的方式來調(diào)用運行“C:\WINDOWS\system32\gdipro.dll”。

該病毒利用進程守護功能來實現(xiàn)自我保護。

病毒釋放組件“sys17002.dll”部分的分析：

加殼名稱：dUP v2.x Patcher --> www.diablo2oo2.cjb.net *

采用高級語言編寫。

文件大?。?4,816 字節(jié)。

釋放驅(qū)動文件“C:\WINDOWS\system32\drivers\hm17002.sys” ->文件大?。?,120 字節(jié)。

創(chuàng)建病毒配置文件“C:\WINDOWS\system32\sys17002.add”。

發(fā)現(xiàn)地址加密前：ASCII "7a^G?BBBaaa^3>"

發(fā)現(xiàn)地址解密后：ASCII "g1.worrr111.cn"

盜QQ網(wǎng)絡(luò)游戲的密碼保護等信息資料。

域名劫持(當用戶訪問如下網(wǎng)站時，會被定向到駭客服務(wù)器地址“212.103.11.59”上)：

\drivers\etc\hosts

212.103.11.59\tpassport.wanmei.com

212.103.11.59\treg.163.com

212.103.11.59\tsde.game.sohu.com

212.103.11.59\taccount.ztgame.com

212.103.11.59\tpwd.sdo.com

212.103.11.59\treg.91.com

病毒釋放驅(qū)動“hm17002.sys”部分的分析：

惡意驅(qū)動程序。

文件大?。?,120 字節(jié)。

可能是利用驅(qū)動安裝鉤子截取QQ網(wǎng)絡(luò)游戲密碼，達到盜游戲帳號的目的：

!This program cannot be run in DOS mode.

e:\qqsg\setloa~1\setloa~1\objfre_wnet_x86\i386\SetLoadHook.pdb

手動刪除該病毒的方法步驟(經(jīng)過實際測試絕對有效)：

1、刪除病毒文件“C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~*.tmp”、“C:\WINDOWS\system32 \gdipro.dll”、“C:\WINDOWS\system32\drivers\hm17002.sys”、“C:\WINDOWS \system32\sys17002.dll”、“C:\WINDOWS\system32\sys17002.add”、“C:\WINDOWS \system32\rpcss.dll”

2、把系統(tǒng)文件“C:\WINDOWS\system32\srpcss.dll”改名為“C:\WINDOWS\system32\rpcss.dll”。

3、把注冊表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\ObjectName”鍵值改為“NT AUTHORITY\NetworkService”。

4、把注冊表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\Parameters\ServiceDll”鍵值改為“%SystemRoot%\system32\rpcss.dll”。

5、重新啟動計算機系統(tǒng)，系統(tǒng)殺毒修復完畢(系統(tǒng)重新啟動后就可以上網(wǎng)了，粘貼功能有效了，同時任務(wù)欄的顯示也正常了)。

6、使用殺毒軟件進行全盤查殺病毒(該病毒為木馬下載器下載到您計算機中的病毒，那個木馬下載器還下載了N多其它病毒也同時安裝到了您的計算機系統(tǒng)中)。