病毒名称(中文):
传奇攻防盗号者90112
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
208896
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个针对《传奇》的盗号木马。它通过释放的驱动程序破坏反病毒软件的主动防御,关闭反病毒软件程序的进程。然后盗取游戏帐号和密码,并把盗取到的信息发送到指定的网站。
1、释放文件
%systemroot%\system32\msoscqit00.dll
%systemroot%\system32\drivers\msosfpids32.sys
这两个文件都被隐藏了。(通过挂接NtQueryDirectoryFile来实现文件的隐藏)
2、创建服务
在注册表里为驱动程序创建服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpids32
其对应的可以执行文件为%systemroot%\system32\drivers\msosfpids32.sys
msosfpids32.sys的主要功能是恢复SSDT来破坏反病毒软件的主动防御和隐藏木马文件
3、盗号
%systemroot%\system32\msoscqit00.dll的主要功能就是盗取传奇的游戏帐号。
它还会关闭杀毒软件的进程,释放驱动程序并加载驱动程序。
%systemroot%\system32\msoscqit00.dll被注入到系统的所有进程中,
假如宿主进程是反病毒软件的进程,就将其关闭
假如是传奇游戏的进程,就读写该进程的内存数据,盗取游戏帐号,并将结果发送到指定网站。