病毒名称(中文):
问道盗号者61440
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
11264
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个针对网络游戏《问道》的盗号器。它为干扰杀毒软件的查杀,设置了许多加密。
病毒运行之后,
首先创建一个线程,这个线程会释放出病毒资源区中名为“MSC”的文件,创建并写到C:\WINDOWS\system32\hellodon.dll中,然后打开注册表,查找HKLM:"SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows",添加项"AppInit_DLLs",设置值为"hellodon.dll",病毒通过这样的方式实现进程的注入,让系统执行DllMain来达到启动木马的目的,再由dll文件启动复制到C:\WINDOWS\system32下的病毒文件hellodonk.exe,这是一种很老的已经不常见的方式,
然后,进程开始查找是否存在"AskTao"(《问道》游戏)的窗口,假如找到的话,病毒会结束掉该《问道》的窗口,假如玩家不慎重,立即再登录游戏的话,便会落入该木马的圈套。
在结束掉《问道》之后,病毒会查找,创建问道游戏的map映射,然后在病毒释放出的hellodon.dll中,病毒会执行读取内存映射,对用户的游戏内存进行锁定,搜索用户的帐号密码,修改用户与服务器端的通信内容,诱使用户重复输入密码等。
这个木马并没有使用常见的OpenInternetUrl方式连接互联网,而是使用了ws2_32.dll这个dll,病毒首先复制该dll到系统Temp文件夹"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ntfast_32.dll",然后对这个木马要用到的dll中的函数进行解密,获取到connect,send,WSASend,revc,WSArevc等大量函数的地址,在成功盗取到帐号信息后,木马再解密连接地址获得"qin*****girl.com/wenle/push.asp"和"qin*****girl.com/wendaozhe/push.asp",在利用获得的函数地址连接到"qin*****girl.com/wenle/push.asp"和"qin*****girl.com/wendaozhe/push.asp"实现盗取信息的发送和木马的更新。
病毒自身复制到C:\WINDOWS\system32\hellodonk.exe
病毒会创建一个病毒名.bat的批处理,执行病毒源文件的删除