病毒名稱： Trojan/Win32.Agent.acfe [Dropper] 

該病毒為熱血傳奇盜號木馬，病毒運行后，遍歷進程查找"alien32.exe"，如找到則強行結束該進程，拷貝自身文件到%system32%目錄下，重命名為：alien32.exe，獲取NTDLL.DLL文件時間，將衍生的病毒文件創建時間設置為獲取的NTDLL.DLL文件的時間，調用API函數創建%system32%目錄下病毒進程，病毒運行完后刪除自身，alien32.exe病毒文件運行后查找類名為"SHRTMIR"的窗體，衍生DLL病毒文件到%system32%目錄下，動態加載病毒DLL文件、獲取病毒DLL基礎，并調用病毒DLL，枚舉內核模塊名"ntkrnlpa.exe"并加載該進程，創建病毒驅動文件到%system32%\Drivers目錄下，并打開病毒服務，等待加載完畢后、刪除病毒驅動文件，添加注冊表RUN啟動項，遍歷進程查找360tray.exe進程、找到后強行結束該進程，遍歷進程查找explorer.exe進程、找到后調用內核函數獲取該進程句柄、修改進程的訪問令牌，申請內存空間、將病毒DLL寫到explorer.exe與svchost.exe進程中，并創建一個線程。DLL文件主要行為：查找類名"SAS Window class"的窗體，并向該窗體發送錯誤消息，查找游戲類名"TFrmMain"名稱為“傳奇加載”的窗體，找到后調用函數向該窗體發送消息，檢測包含病毒預定的文字控件按鈕、如匹配成功則刪除該窗體的安全檢測控件，使游戲安全檢測項失效、以到達截取游戲帳戶密碼目的，通過URL方式發送到作者指定的地址中。

行為分析-本地行為

1、遍歷進程查找"alien32.exe"，如找到則調用TerminateProcess函數強行結束該進程，獲取該NTDLL.DLL文件時間，將衍生的病毒文件創建時間設置為獲取的NTDLL.DLL文件的時間，查找類名為"SHRTMIR"的窗體，找到之后衍生DLL病毒文件到%system32%目錄下，動態加載病毒DLL文件、獲取病毒DLL基礎，并調用病毒DLL，枚舉內核模塊名“ntkrnlpa.exe”并加載該進程。 

協議：TCP 
端口：80 
描述：連接域名發送游戲賬戶到病毒作者接收地址中，回傳格式為： 
tid=%s&nid=%s&id=%s&p=%s&a=%s&sv=%s&j1=%s.%s(%d)&j2=%s.%s(%d)&pn=%s&sys=%s&yb=%d&lf 
=%d&jgs=%d&mv=%d&mb=%d&sgn=%d&zb=%s 
注：%System32%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。 
　　　　 %Windir% 　　　　　 　　　　　 WINDODWS所在目錄 
　　　　 %DriveLetter%　 　　　　　　　 邏輯驅動器根目錄 
　　　　 %ProgramFiles%　 　 　　　　　 系統程序默認安裝目錄 
　　　　 %HomeDrive% 　　　　　　　　　 當前啟動的系統的所在分區 
　　　　 %Documents and Settings% 　　　當前用戶文檔根目錄 
　　　　 %Temp% 　　　　　　　　　　　　\Documents and Settings 
　　　　　　　　　　　　 　　　　　　　 \當前用戶\Local Settings\Temp 
　　　　 %System32% 　　　　　　　　　　系統的 System32文件夾 
　　　　 
　　　　 Windows2000/NT中默認的安裝路徑是C:\Winnt\System32 
　　　　 windows95/98/me中默認的安裝路徑是%WINDOWS%\System 
　　　　 windowsXP中默認的安裝路徑是%system32%

清除方法：

1、使用安天防線可徹底清除此病毒(推薦)，請點擊下載(http://www.antiyfx.com/download.htm)。 
2、手工清除請按照行為分析刪除對應文件，恢復相關系統設置。 
推薦使用ATool管理工具，請點擊下載(http://www.antiy.com/cn/download/atool.htm)。 
（1）使用ATOOL管理工具，“進程管理”查找explorer.exe與svchost.exe進程中的病毒模塊名"ali4ee25.dll"，找到該病毒模塊強行結束。 
（2） 強行刪除病毒文件 
%system32%\dllcache\alitte32.exe 
%system32%\dllcache\ali4a10f.dll 
（3）恢復注冊表下項、刪除病毒啟動項 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\nwiz 
刪除Run鍵下的nwiz鍵值 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz 
刪除Services鍵下的aliimz主鍵值

alitte32.exe ，ali4a10f.dll
2、文件運行后會釋放以下文件 
%system32%\drivers\aliimz.sys 
%system32%\dllcache\alitte32.exe 
%system32%\dllcache\ali4a10f.dll 
3、添加注冊表啟動項、創建病毒服務 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\nwiz 
值: 字符串: "alien32.exe" 
描述：添加注冊表病毒啟動病毒 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\ImagePath 
值: 字符串:"System32\Drivers\aliimz.sys." 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\Start 
值: DWORD: 3 (0x3) 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\Type 
值: DWORD: 1 (0x1) 
描述：創建注冊表病毒服務項 
4、遍歷進程查找360tray.exe進程、找到后強行結束該進程，遍歷進程查找explorer.exe進程、找到后調用內核函數獲取該進程句柄、修改進程的訪問令牌，申請內存空間、利用API函數WriteProcessMemory將病毒DLL寫到explorer.exe與svchost.exe進程中，并創建一個線程。 
5、DLL文件主要行為：調用API函數FindWindowA查找類名"SAS Window class"的窗體，并向該窗體發送錯誤消息，查找游戲類名"TFrmMain"名稱為"傳奇加載"的窗體，找到后調用函數向該窗體發送消息，檢測包含病毒預定的文字控件按鈕、如匹配成功則刪除該窗體的安全檢測控件，使游戲安全檢測項失效、以到達截取游戲帳戶密碼目的。 
刪除包含以下文件的控件按鈕： 
提示：為保護帳號安全，\n\n請您驗證帳號身份信息。 
提示：反外掛測試中，請輸入動態密寶。 
行為分析-網絡行為