Trojan-GameThief.Win32.OnLineGames.tudf(BA7EDF54.dll、d812a079.sys)分析與解決方案

      超級(jí)巡警團(tuán)隊(duì)監(jiān)測(cè)到惡意程序Trojan-GameThief.Win32.OnLineGames.tudf該病毒為木馬程序，主要盜取用戶預(yù)言online游戲的信息，使用戶的財(cái)產(chǎn)遭受損失，超級(jí)巡警建議用戶使用超級(jí)巡警保險(xiǎn)箱來保證游戲賬號(hào)的安全。同時(shí)提醒廣大用戶及時(shí)更新病毒庫，對(duì)該程序進(jìn)行有效查殺。

一、病毒相關(guān)分析：
       病毒標(biāo)簽：
         病毒名稱：Trojan-GameThief.Win32.OnLineGames.tudf
         病毒類型：木馬
         危害級(jí)別：3
         感染平臺(tái)：Windows
         病毒大小：22,374 字節(jié)
         SHA1　： B221715285C7EC7D830F708CBE77567C80BEF99D
         加殼類型：Upack
         開發(fā)工具：Microsoft Visual C++

       病毒行為：
          1、病毒運(yùn)行以后釋放病毒文件，釋放文件之后將自身刪除，遍歷%system%文件夾刪除verclsid.exe文件。
              %system%BA7EDF54.cfg
              %system%BA7EDF54.dll
              %system%d812a079.sys 

          2、調(diào)用命令注冊(cè)釋放的病毒文件。添加注冊(cè)表相關(guān)鍵值，使每次系統(tǒng)啟動(dòng)時(shí)加載生成的DLL文件。
                  HKEY_CLASSES_ROOTCLSID{BA7EDF54-8408-4B21-B351-7B447B344BA4}InprocServer32
                  注冊(cè)表值：(Default)
                  類型：REG_SZ
                  值：%system%BA7EDF54.dll

          3、添加注冊(cè)表相關(guān)鍵值項(xiàng)，執(zhí)行掛鉤操作。
                  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

          4、添加注冊(cè)表服務(wù)相關(guān)鍵值，創(chuàng)建服務(wù)加載驅(qū)動(dòng)，該驅(qū)動(dòng)的功能是恢復(fù)安全軟件主動(dòng)防御的內(nèi)核鉤子，使安全軟件的主動(dòng)防御功能失效。
                  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesd812a079

          5、病毒會(huì)根據(jù)游戲窗口信息和窗口類來判斷當(dāng)前是否有預(yù)言online游戲在運(yùn)行中。

          6、將釋放的隨機(jī)名dll注入到自身進(jìn)程中，安裝鉤子監(jiān)控發(fā)送到消息隊(duì)列的消息，盜取用戶預(yù)言online游戲信息。

二、解決方案
       推薦方案：安裝超級(jí)巡警進(jìn)行全面病毒查殺。超級(jí)巡警用戶請(qǐng)升級(jí)到最新病毒庫，并進(jìn)行全盤掃描。
                      超級(jí)巡警下載地址：http://www.sucop.com/download/16.html

       手工清除方法：
          1、結(jié)束病毒進(jìn)程。打開超級(jí)巡警ToolsLoader.exe工具（此工具在超級(jí)巡警安裝目錄下），選擇進(jìn)程管理功能，終止病毒進(jìn)程。

          2、刪除病毒生成的文件。
            &