危害等級: 3
檔案長度: 19,784 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: Upack
行為分析-本地行為
1、檔案運行後會釋放以下檔案
%System32%\t331008.ini
%System32%\t331008.dll
2、調用sfc_os.#5去掉"%SystemRoot%\system32\rpcss.dll"系統保護,拷貝"%SystemRoot%\system32\rpcss.dll"為同目錄下的t3rpcss.dll,拷貝~04a574.~~~為rpcss.dll,釋放動態庫檔案"%SystemRoot%\system32\t322029.dll",刪除病毒源檔案,當rpcss.dll被svchost.exe載入後,就會調用t322029.dll開啟一個執行緒遍歷進程搜尋explorer.exe、Mir.exe進程,將病毒代碼寫入到該進程中,比較記憶體數據是否為指定的數據如果是則通過記憶體截取賬號及密碼。
3、該病毒檔案對字串進行了加密處理防止被安全軟體查殺,病毒運行後對字串先進行解密處理,動態獲取大量API函式,遍歷進程查找AVP.EXE,如果找到就拷貝rundll32.exe檔案到%System32%目錄下命名為t331008ll3.exe,然後使用t331008ll3.exe檔案啟動創建在臨時目錄下的病毒檔案,如不存在使用rundll32.exe直接啟動臨時目錄下的病毒檔案,病毒這樣做的目的可能是躲避卡巴斯基防毒軟體對rundll32.exe檔案調用檔案的行為監控所做出的報警提示,病毒檔案到調用後判斷自身模組是否被注入在svchost.exe進程中,創建互斥量名為"t3svchos~!~t.exe"。
行為分析-網路行為
將截取到遊戲賬戶信息以ULR方式通過以下參數回傳到作者地址中
?Game=31¶=&ves=008&d00=&d01=&d10=&d11=&d21=&d30=&d31=&d32=&d40=0&d45=0&d42=0&d60=
&d61=&d70=0&d71=0&d50=&d90=100&d62=
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
