Beyond 工作室论坛 - 木马百科 - Trojan-PSW.Win32.OnLineGames 木马专家专业的防杀木马软件

Trojan-PSW.Win32.OnLineGames
开发工具： Microsoft Visual C++ 6.0
加壳类型： WinUpack 0.39 final -> By Dwing

该病毒下载者木马类，病毒运行后调用API获取系统文件夹路径，在%System32%目录
下创建病毒文件ajfcaa.exe（6位随机病毒名），并加载创建该病毒进程，遍历进程查找
是否存在以下进程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；
如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程，调用
LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件
删除，并创建一个同名的文件，创建dat文件到临时目录，创建注册表病毒服务，等待加
载完毕后将dat文件删除，添加注册表映像劫持，劫持多款安全软件，使系统安全性降低，
利用ZwQuerySystemInformation()枚举内核模块，遍历进程查找：DrvAnti.exe（驱动
防火墙）、csrss.exe（系统进程），如找到则强行结束上2个进程，病毒运行后自我删
除，连接网络读取列表下载大量恶意文件到本地运行，经分析下载的文件多为盗号木马，
给用户清理带来极大的不便！

目前此木马流行(机器狗类似),它目标就是盗取流行网络游戏的账号密码.