病毒名称(中文):
网游盗号木马270336
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
270336
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游盗号木马病毒。会盗取《魔兽世界》、《惊天动地》《新破天一剑》的账号信息。病毒运行后会关闭卡巴斯基、瑞星等杀毒软件。
1.首先开启一个线程,不停的查找窗口标题为”AVP.Product_Notification”,”AVP.AlertDialog”和”瑞星注册表监控提示”的窗口,发现后发送窗口消息,WM_LBUTTONDOWN,WM_LBUTTONUP,WM_CLOSE消息关闭杀软报警窗口。
2.拷贝自身到C:\windows\mppds.exe,假如拷贝不成功则随机生成一个文件名重新拷贝。
3.设置注册表自启动,HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mppds=C:\Windows\mppds.exe。
4.查找资源类型DLL,将资源数据写入文件C:\Windows\System32\mppds.dll。假如写入文件不成功则随机生成一个新的文件名写入。
5.查找explorer.exe的进程ID,注入代码到explorer.exe,传入一个参数为一些API的地址和一些字符串。注入的代码主要完成如下工作:
(1).加载C:\Windows\System32\mppds.dll并调用偏移30h和34h的函数,这两个函数主要是设置全局钩子和释放全局钩子,钩子函数什么也不做,直接CallNextHookEx,目的仅仅是把自己加载到系统的其他的进程空间中。
(2).注入代码删除原文件,通过不停的删除和一个事件对象来判定文件是否已解锁实现删除操作。假如注入代码不成功,则自己加载C:\Windows\System32\mppds.dll并调用偏移30h和34h的函数,实现安装全局钩子,注入DLL到其他进程空间中。
6.病毒释放文件C:\Windows\mppds.exe执行流程基本和上述一样,所不同的是病毒通过路径判定出自己是第二次执行时就不会执行删除原文件的操作了。
7.病毒注入DLL,C:\Windows\System32\mppds.dll,在DLL_PROCESS_ATTACH加载后保存两个函数地址到偏移30h和34h处,供前面的原始文件调用,用来安装全局钩子的。
8.获取当前进程文件名,判定是否是wow.exe(魔兽世界),cabalmain.exe(惊天动地),china_login.mpr(新破天一剑)等文件名从而做相应的处理,如搜索内存中断数据,读写内存数据,获得游戏的账号密码,最后通过InternetRead发送到如下的网站:
http://www.dj***0.com/jtdd333/
构造如下的URL:http://www.dj***0.com/jtdd333/shuo333.asp?a=%d
&s=%s&u=%s&r=%s&l=%d&m=%d&p=%s
9.DLL_PROCESS_DETACH则调用TerminateThread终止当前线程。