病毒标签

病毒名称： Trojan/Win32.OnLineGames.uuhu[GameThief]

病毒类型： 木马

文件 MD5： E164B4711EE7A77406A010E519ECB7E0

公开范围： 完全公开

危害等级： 3

文件长度： 15,136字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

病毒描述

该病毒为盗取网络游戏dnf游戏账号的木马，病毒运行后检测%System32%目录下是否存在*.dll文件，如果存在更改其文件名；复制系统文件sfc_os.dll，加载sfc_os.dll文件副本并调用其中相关函数禁用系统文件保护；移动系统文件comres.dll，尝试在系统目录和字体目录下分别衍生病毒文件comres.dll，在系统字体目录下衍生病毒文件gth60328.ttf；遍历进程列表查找巨人游戏客户端进程"dnf.exe"，并将之关闭。调用comres.dll文件中的ins函数删除原始病毒文件。病毒不会对注册表进行操作，病毒通过替换系统文件comres.dll的方式来实现随机启动，被替换的comres.dll文件被加载后将截获用户信息调用gth60328.ttf文件将信息回传给病毒作者。

行为分析

本地行为

1、文件运行后会释放以下文件

%System32%\ComRes.dll 11,264字节

%Windir%\fonts\gth60328.ttf 25,088字节

%Windir%\fonts\gth60328.fon 1,312字节

%Windir%\fonts\ComRes.dll 11,264字节