腐败之盗

王朝百科·作者佚名  2010-03-04
窄屏简体版  字體: |||超大  

Win32.Troj.OnlineGames.fb

病毒名称(中文):

腐败之盗病毒别名:

威胁级别:

★★☆☆☆病毒类型:

偷密码的木马病毒长度:

61520影响系统:

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个盗号木马释放的DLL文件,该木马能够盗取多款网络游戏帐号。使用了基于SPI的DLL木马技术来进行木马进程的隐藏。

1.病毒DLL运行后,首先判断调用该DLL模块的文件名是否是svchost.exe和alg.exe,如果是表明已经被感染;

2.如果还未感染,则遍历进程,寻找sqmapi32.dll,找到该进程,则提升权限,开辟空间,创建远程线程,即建立与远程联系

的后门。

3.装载qdshm.dll资源,创建进程将木马程序嵌入到服务提供者的DLL文件中。

4.利用WSPStartup模块,启动系统网络服务,同时木马每次随着系统启动,自动跑起来。

5.该木马主要危害是盗号。

6.该木马使用了基于SPI的DLL木马技术来进行木马进程的隐藏。主要实现是利用在每个操作系统中都有系统网络服务,

它们是在系统启动时自动加载,而且很多是基于IP协议的。病毒作者写了一个IP协议的传输服务提供者,并安装在服务提供者数据库

的最前端,系统网络服务就会加载木马的服务提供者。再将木马程序嵌入到服务提供者的DLL文件中,在启动系统网络服务时木马程

序也会被启动。这种木马的特点是只需安装一次,而后就会被自动加载到可执行文件的进程中,还有一个特点就是它会被多个网络

服务加载。通常在系统关闭时,系统网络服务才会结束,所以木马程序同样可以在系统运行时保持激活状态。

在传输服务提供者中,有30个SPI函数是以分配表的形式存在的。在Ws2_32.dll中的大多数函数都有与之对应的传输服务

提供者函数。如WSPRecv和WSPSend,它们在Ws2_32.dll中的对应函数是WSARecv和WSASend。病毒作者编写了一个基于IP协议的服务

提供者并安装于系统之中,当系统重启时它被svchost.exe程序加载了,而且svchost.exe在135/TCP监听。在传输服务提供者中,

重新编写了WSPRecv函数,对接收到的数据进行分析,如果其中含有客户端发送过来的暗号,就执行相应的命令获得期望的动作,

之后可以调用WSPSend函数将结果发送到客户端,这样不仅隐藏了进程,而且还重用了已有的端口。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航