扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是一个针对《魔域》的网游盗号木马。它自带得有一个驱动文件,用于解除一些具有所谓主动防御功能的杀毒软件的主防。当破坏了杀毒软件的正常运行后,病毒就会盗取游戏的帐号和密码。
释放以下病毒文件:
%systemroot%\system32\ttMYSMYS1053.exe
%systemroot%\system32\ttMYSMYS1053.dll
%systemroot%\system32\drivers\XNGAnti.sys
%systemroot%\system32\drivers\ReloadAnti.sys
注: XNGAnti.sys 和 ReloadAnti.sys 两个驱动文件相同
枚举系统进程,结束 360TraY.exe 和 soul.exe 进程. (soul.exe 为网络游戏《魔域》的游戏进程)
创建系统服务加载驱动文件 XNGAnti.sys,通过发送控制码(22E14Bh)请求驱动执行指定操作.
创建批处理文件删除自身.
驱动文件的作用是根据程序传入的数据替换SSDT表的系统服务函数地址.(恢复被hook掉的函数)
盗取系统上的网络游戏《魔域》的帐号信息并发送至指定的接收网址.
病毒创建以下注册表项:
HKEY_CLASSES_ROOT\CLSID\{9947e423-193f-4fc4-b38d-e76fdd799150}
HKEY_CLASSES_ROOT\CLSID\{9947e423-193f-4fc4-b38d-e76fdd799150}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{9947e423-193f-4fc4-b38d-e76fdd799150}\InprocServer32 @ "%systemroot%\system32\ttMYSMYS1053.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {9947e423-193f-4fc4-b38d-e76fdd799150} "ttMYSMYS1053.dll"
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号