病毒标签：

病毒名称： Trojan-Dropper.Win32.Agent.byn
病毒类型： 木马
文件 MD5： BE3BA0FEF8DB0795E73078A83BF13EB4
公开范围： 完全公开
危害等级： 4
文件长度： 22,977 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： WinUpack 0.39 final -> By Dwing [Overlay]

病毒描述：

    该病毒为盗取完美世界游戏账号木马，病毒运行后，释放病毒文件到%System32%目录下，获取%temp%文件夹目录使用CMD命令"/c copy "拷贝自身到该目录下，调用CMD命令启动%temp%下的病毒文件，释放病毒文件到%temp%下，分别重命名为：tx_6.exe、txwmx86_6.dll，病毒运行完后使用CMD命令删除病毒原文件，添加病毒RUN启动项（原病毒体文件），注册病毒CLSID值，添加HOOK启动项，试图将病毒DLL注入到系统除外的所有进程中，调用API利用全局钩子获取游戏句柄记录游戏账号及木马信息，通过URL方式发送到病毒作者指定的地址中。

行为分析-本地行为：

1、文件运行后会释放以下文件
%system32%system32\avwgcmn.dll （盗取完美世界游戏的病毒DLL文件，利用全局钩子获取游戏信息）
%system32%system32\avwgcst.exe （游戏盗号主文件）
%system32%system32\avwgain.dll （该文件为获取游戏信息所要发送的URL地址）
%Documents and Settings%\当前所在用户\Local Settings\Temp\txwmx86_0.exe （病毒原文件）
%Documents and Settings%\当前所在用户\Local Settings\Temp\txwmx86_6.dll （该病毒DLL监视大量游戏进程，如存在则向改游戏发送并记录消息）被监视的游戏进程有：
"MY.EXE"、"GAME.EXE"、"GAMECLIENT.EXE"、"ELEMENTCLIENT.EXE"、"ELEMENTCLIENT.EXE"、"WOW.EXE"、
"SUNGAME.EXE"、"SOUL.EXE"、"XY2.EXE"、"MIR1.DAT"、"QQFO.EXE"、"CLIENT.EXE"、"WOOOL.DAT"、"XYMAIN.BIN"、
"ZEROONLINE.EXE"、"QQSG.EXE"、"QQHXGAME.EXE"、"GACCORELOADER.EXE"、"BO.EXE"

2、病毒运行完后利用PAI ShellExecuteA函数启动CMD命令删除病毒原文件，试图将病毒DLL注入到系统除外的所有进程中，调用API利用全局钩子获取游戏句柄记录游戏账号及木马信息。

3、创建注册表病毒服务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
新: 字符串: "avwgcmn.dll"
旧: 字符串: ""
描述：添加病毒AppInit_DLLs启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3A1247C1-53DA-FF43-ABD3-345F323A48D3}\InprocServer32\@
值: 字符串: "%system32%system32\avwgcmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3A1247C1-53DA-FF43-ABD3-345F323A48D3}
值: 字符串: "avwgcmn.dll"
描述：添加病毒HOOK项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Intel Chipset Monitor
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\txwmx86_0.exe"

行为分析-网络行为：

获取游戏账户信息后通过URL方式发送到指定的地址中，接收游戏账户信息地址为：
http://www.sina-****.cn/wmgj2007/9023facai/post.asp

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% 　　　　　 　　　　　 WINDODWS所在目录
%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
%Documents and Settings% 　　　当前用户文档根目录
%Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp
%System32% 　　　　　　　　　　系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32

清除方案：

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1） 使用ATOOL“进程管理”系统进程中包含avwgcmn.dll、txwmx86_6.dll的DLL找到后将其卸载掉。

（2）使用ATOOL工具“文件管理“按路径查找并删除以下文件
%system32%system32\avwgcmn.dll
%system32%system32\avwgcst.exe
%system32%system32\avwgain.dll
%Documents and Settings%\当前所在用户\Local Settings\Temp\txwmx86_0.exe
%Documents and Settings%\当前所在用户\Local Settings\Temp\txwmx86_6.dll

（3）删除病毒创建的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
删除AppInit_DLLs键下的avwgcmn.dll键

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
删除CLSID键下的{3A1247C1-53DA-FF43-ABD3-345F323A48D3}病毒CLSID值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除ShellExecuteHooks键下的{3A1247C1-53DA-FF43-ABD3-345F323A48D3}病毒CLSID值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Run键下的avwgcmn.dll键Intel Chipset Monitor主键值