Question

Trojan/Win32.Agent.acfe [Dropper]的病毒描述：

Answer 1

该病毒为热血传奇盗号木马，病毒运行后，遍历进程查找alien32.exe，如找到则强行结束该进程，拷贝自身文件到%system32%目录下，重命名为：alien32.exe，获取NTDLL.DLL文件时间，将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间，调用API函数创建%system32%目录下病毒进程，病毒运行完后删除自身，alien32.exe病毒文件运行后查找类名为SHRTMIR的窗体，衍生DLL病毒文件到%system32%目录下，动态加载病毒DLL文件、获取病毒DLL基础，并调用病毒DLL，枚举内核模块名ntkrnlpa.exe并加载该进程，创建病毒驱动文件到%system32%\Drivers目录下，并打开病毒服务，等待加载完毕后、删除病毒驱动文件，添加注册表RUN启动项，遍历进程查找360tray.exe进程、找到后强行结束该进程，遍历进程查找explorer.exe进程、找到后调用内核函数获取该进程句柄、修改进程的访问令牌，申请内存空间、将病毒DLL写到explorer.exe与svchost.exe进程中，并创建一个线程。DLL文件主要行为：查找类名SAS Window class的窗体，并向该窗体发送错误消息，查找游戏类名TFrmMain名称为“传奇加载”的窗体，找到后调用函数向该窗体发送消息，检测包含病毒预定的文字控件按钮、如匹配成功则删除该窗体的安全检测控件，使游戏安全检测项失效、以到达截取游戏帐户密码目的，通过URL方式发送到作者指定的地址中。