病毒症状

该样本是使用“Microsoft visual C++/C”编写的“盗号木马”，采用“UPX”加壳方式试图躲避特征码扫描,加壳后长度为25,385字节，使用“ exe”扩展名，通过网页木马、下载器下载、等方式进行传播。 用户中毒后，会出现计算机及网络运行缓慢，游戏进程无故退出等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista

传播途径

网页挂马、文件捆绑、下载器下载

病毒分析

1.病毒运行后动态获取所需API，查找并结束"JX3Client.exe"进程。
2.查找类名为"App",标题为"天下贰 公测版"的窗口，发送消息关闭该窗口。
3.释放文件%temp%\RG8.tmp，并拷贝为"%SystemRoot%\system\RG8.tmp"。
4.拷贝"%SystemRoot%\system32\dsound.dll"为同目录下的dsound.dll.mod。
5.感染dsound.dll.mod，调用sfc_os#5去掉dsound.dll的保护，用感染后的dsound.dll.mod替换正常文件dsound.dll。
6.当被感染后的dsound.dll调用后，会加载RG8.tmp。
7.在RG8.tmp中，获取游戏账号信息，创建密保卡截图，连接网络，发送到指定地址。

病毒创建文件：

%temp%\RG8.tmp
%SystemRoot%\system\RG8.tmp
%SystemRoot%\system32\dsound.dll.mod

病毒替换文件：

%SystemRoot%\system32\dsound.dll

手动解决办法：

1、手动删除以下文件(如遇提示无法删除文件，到http://www.wd1x.com.cn/down.htm下载费尔木马强制删除器工具进行强制删除)

%temp%\RG8.tmp
%SystemRoot%\system\RG8.tmp

2、手动替换以下文件：

用相同版本替换%SystemRoot%\system32\dsound.dll

变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”