病毒名称(中文):
QQ三国盗贼94312
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
16864
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取网络游戏“QQ三国”帐号的盗号木马变种。该病毒进入系统后会关闭360安全卫士和Gdwli32盗号木马专杀的窗口和进程,并伺机窃取网络游戏QQ三国的用户帐号、密码、密保等信息,然后发送给木马种植者。
(1)生成文件
%sys32dir%\gdqqsgi32.cfg
%sys32dir%\gdqqsgi32.dll
%sys32dir%\drivers\msconkt.sys
(2)生成注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASYNCMAC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QQSG
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CCDECODE
(3)修改注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMacStartdword:00000003dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMacImagePathsystem32\DRIVERS\msconkt.sys
(4)注册以下系统服务项
服务名:CCDECODE
描述:RASAsynchronousMediaDriver
显示名称:RASAsynchronousMediaDriver
映像路径:system32\DRIVERS\msconkt.sys
启动类型:自动
(5)注册以下系统服务项
服务名:AsyncMac
描述:RASAsynchronousMediaDriver
显示名称:RASAsynchronousMediaDriver
映像路径:system32\DRIVERS\msconkt.sys
启动类型:自动
(6)msconkt.sys驱动会搜索addr%shelp、GD%sI32、bj%srl等dll文件并加载,将其注入到其后运行的进程中
%s可能为如下要害字:
WMTW
EVEEVE-Online
XLMY
JZ
XMJ
XWTW
CQSJ传奇世界
YT2
JX2剑侠情缘II
DTHX
DH3
JR
QQSGQQ三国
JTDD惊天动地
ZHTU
ZH战火
HX
LRTW
ZYZJ
QQHX
MH
SHQZ
DH
BF
DJ
ZF
MS
ZX
PTYJ
FY
ZYHX
RXJH
HnXa
GFSJ
TL
HXMF
WD
GJ
WL武林
GZGD光之国度
MOY魔域
QJ奇迹
CHD彩虹岛
CQ传奇
DHY
可以看出以上要害字大都为网络游戏的缩写
(7)gdqqsgi32.dll通过注入进程,搜索窗口和进程是否存在,假如存在则调用TerminateProcess强制关闭窗口进程
Gdwli32盗号木马专杀v1.0
奇虎360安全卫士
(8)gdqqsgi32.dll通过注入进程,监控有"请输入角色密码:"、"请输入仓库密码:"等信息的窗口,通过内存读写方式
盗取网络游戏QQ三国的用户帐号、密码、密保等信息,发送至以下网址:
hxxp://www.n**1*0.com/sanguo/lin.asp?a=%s&s=%s&u=%s&p=%s[%s]&pin=%s&r=%s&l=%d&m=%d
