病毒名称(中文):
PE网游盗号器20557
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
20557
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游盗号木马。它能同时盗取《征途》、《彩虹岛》、《传奇世界》、《惊天动地》等网游,以及“浩方对战平台”和QQ聊天工具的帐号密码。
把C:\WINDOWS\upxdnd.exe注册到注册表启动项
SoftWare\Microsoft\Windows\CurrentVersion\RUN下的upxdnd键,
键值为"C:\WINDOWS\upxdnd.exe"
提取自身资源,删除原系统的upxdnd.dll将刚才提取的资源释放一个到系统文件夹C:\WINDOWS\system32\upxdnd.dll。
遍历进程,找到explorer.exe的进程PID
向explorer.exe写入一段恶意代码,CreateRemoteThread创建远程线程,该线程的作用是每隔一段时间LoadLibraryC:\WINDOWS\system32\upxdnd.dll
LoadLibrary加载C:\WINDOWS\system32\upxdnd.dll
加载成功后调用SetWindowsHookExWH_CBT,
设置一个全局钩子,实现DLL向所有进程注入
病毒根据得到的路径可以得到加载了该DLL的进程名
1当前进程假如是zhengtu.dat征途:读取内存得到用户信息,抛出异常,异常处理过程将创建socket向网络(IP地址:121.10.104.93)发送数据的线程。结束游戏线程,并不断向内存特定位置写数据破坏游戏正常运行。
2当前进程假如是"LaTaleClient.EXE"彩虹岛,创建一个处理线程,
该处理线程的作用,读取进程内存,找到用户信息的相关数据,解密出网址字符串
http://jt1.s****jj.com/cchh/lin.asp?ks=pig&a=%s&s=%s&u=%s&p=%s&sp=%s&r=%,将从内存中读到的用户信息传到网上
3当前进程假如是gameclient.exe浩方堆栈平台,读取进程内存,找到内存中某个特定的位置,抛出异常,异常处理过程将创建socket向网络(IP地址:1*1.10.1*4.93)发送数据的线程。不断向内存特定位置写数据破坏游戏正常运行。
4当前进程假如是"cabalmain.exe"(网游惊天动地),LoadLibraryGetProcAddress得到SetUnhandledExceptionFilter.SetThreadContext函数地址,SetUnhandledExceptionFilter.注册一个回调函数,该回调函数的作用是,解密出一个URL字符串该字串
http://jt1.s****jj.com/cchh/lin.asp?ks=pig&a=%s&s=%s&u=%s&p=%s&sp=%s&r=%将用户信息以URL参数的形式发送到网上。
5当前进程假如是WOOO传奇世界,读取进程内存,找到内存中某个特定的位置,抛出异常,异常处理过程将创建socket向网络发送数据的线程。不断向内存特定位置写数据破坏游戏正常运行。
6当前进程假如是QQ.exe,读取内存找到和用户信息相关的要害位置调用,SetUnhandledExceptionFilter注册一个回调函数,该回调函数创建一个解密出IP地址字串,121.10.104.93创建socket向网络发送数据的线程。
7当前进程名假如是ElemntClient.exe,解密出字符串"ElemntClient.exe","ZElementClientWindow",FindWindowA找到游戏程序窗口,创建一个线程,该线程的作用是解密出IP地址字串,创建socket向网络发送数据的线程。