Win32.Troj.OnlineGames.fb
病毒名称(中文):
腐败之盗病毒别名:
威胁级别:
★★☆☆☆病毒类型:
偷密码的木马病毒长度:
61520影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个盗号木马释放的DLL文件,该木马能够盗取多款网络游戏帐号。使用了基于SPI的DLL木马技术来进行木马进程的隐藏。
1.病毒DLL运行后,首先判断调用该DLL模块的文件名是否是svchost.exe和alg.exe,如果是表明已经被感染;
2.如果还未感染,则遍历进程,寻找sqmapi32.dll,找到该进程,则提升权限,开辟空间,创建远程线程,即建立与远程联系
的后门。
3.装载qdshm.dll资源,创建进程将木马程序嵌入到服务提供者的DLL文件中。
4.利用WSPStartup模块,启动系统网络服务,同时木马每次随着系统启动,自动跑起来。
5.该木马主要危害是盗号。
6.该木马使用了基于SPI的DLL木马技术来进行木马进程的隐藏。主要实现是利用在每个操作系统中都有系统网络服务,
它们是在系统启动时自动加载,而且很多是基于IP协议的。病毒作者写了一个IP协议的传输服务提供者,并安装在服务提供者数据库
的最前端,系统网络服务就会加载木马的服务提供者。再将木马程序嵌入到服务提供者的DLL文件中,在启动系统网络服务时木马程
序也会被启动。这种木马的特点是只需安装一次,而后就会被自动加载到可执行文件的进程中,还有一个特点就是它会被多个网络
服务加载。通常在系统关闭时,系统网络服务才会结束,所以木马程序同样可以在系统运行时保持激活状态。
在传输服务提供者中,有30个SPI函数是以分配表的形式存在的。在Ws2_32.dll中的大多数函数都有与之对应的传输服务
提供者函数。如WSPRecv和WSPSend,它们在Ws2_32.dll中的对应函数是WSARecv和WSASend。病毒作者编写了一个基于IP协议的服务
提供者并安装于系统之中,当系统重启时它被svchost.exe程序加载了,而且svchost.exe在135/TCP监听。在传输服务提供者中,
重新编写了WSPRecv函数,对接收到的数据进行分析,如果其中含有客户端发送过来的暗号,就执行相应的命令获得期望的动作,
之后可以调用WSPSend函数将结果发送到客户端,这样不仅隐藏了进程,而且还重用了已有的端口。