病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
239616
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取“热血江湖”网游帐号的木马程序,病毒运行后会释放多个病毒辅助文件,添加系统服务,并隐藏病毒文件和病毒进程,使用户对其查杀产生困难。
1、释放如下文件到%temp%目录:
packet.dll、npf.sys、oprar.exe、wanpacket.dll、7.dll、winrar.sys、_wpcap_.inf
复制npf.sys到%system%\drivers目录下,之后生成.bat文件删除%temp%\npf.sys和wpcap_.inf
其中,oprar.exe为盗取帐号的主要病毒文件,7.dll,winrar.sys为添加服务、实现隐藏病毒的辅助文件。
2、添加名为squell1的系统服务,其执行文件路径指向%temp%\winrar.sys,hook如下系统函数:
NtCreateFile
NtEnumerateKey
NtEnumerateValueKey
NtQueryDirectoryFile
NtQuerySystemInfomation
实现隐藏病毒进程、注册表项和病毒相关文件等。
3、添加如下注册表项,并使其驱动程序指向病毒添加的squell1服务。
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\NextInstance]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000\Control]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000\Control
"*NewlyCreated*"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]
"Service"="squell1"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]
"Legacy"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]
"ConfigFlags"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]
"Class"="LegacyDriver"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SQUELL1\0000]
"DeviceDesc"="squell1"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\Root\LEGACY_SQUELL1\0000\Control]
"ActiveService"="squell1"
4、病毒会安装全局钩子,监视游戏窗口,在后台记录用户帐号信息。
5、连接网络,将获得的帐号信息提交到指定的网页。
