Win32.Troj.RXJH.ck

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

239616

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个盗取“热血江湖”网游帐号的木马程序,病毒运行后会释放多个病毒辅助文件,添加系统服务,并隐藏病毒文件和病毒进程,使用户对其查杀产生困难。

1、释放如下文件到%temp%目录:

packet.dll、npf.sys、oprar.exe、wanpacket.dll、7.dll、winrar.sys、_wpcap_.inf

复制npf.sys到%system%\drivers目录下,之后生成.bat文件删除%temp%\npf.sys和wpcap_.inf

其中,oprar.exe为盗取帐号的主要病毒文件,7.dll,winrar.sys为添加服务、实现隐藏病毒的辅助文件。

2、添加名为squell1的系统服务,其执行文件路径指向%temp%\winrar.sys,hook如下系统函数:

NtCreateFile

NtEnumerateKey

NtEnumerateValueKey

NtQueryDirectoryFile

NtQuerySystemInfomation

实现隐藏病毒进程、注册表项和病毒相关文件等。

3、添加如下注册表项,并使其驱动程序指向病毒添加的squell1服务。

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\NextInstance]

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000\Control]

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000\Control

"*NewlyCreated*"=0x0

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]

"Service"="squell1"

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]

"Legacy"=0x1

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]

"ConfigFlags"=0x0

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]

"Class"="LegacyDriver"

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]

"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]

"DeviceDesc"="squell1"

[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\Root\LEGACY_SQUELL1\0000\Control]

"ActiveService"="squell1"

4、病毒会安装全局钩子,监视游戏窗口,在后台记录用户帐号信息。

5、连接网络,将获得的帐号信息提交到指定的网页。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航