这是一个针对网络游戏《传奇》的盗号木马。它会对抗游戏自带的保护模块,然后以读取内存的方式盗取帐号和密码信息。
这个病毒运行后,首先会复制自身到%sys32dir%下的follwelk.exe中,释放follwel.dll到%sys32dir%下;
将dll名添加到注册表中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs
病毒会创建线程查找传奇的反木马模块TjBin.dll,找到之后,获取导出函数"TjScan"的地址,修改该函数处的代码,使之失效。
病毒使用了多种不同的加密方法,在运行时会使用这些解密方法解密要使用的Dll名,函数名,字符串,连接地址等等信息
解密之后,病毒会将Ws2_32.dll复制到Temp目录后加载,通过 GetProcAddress获取函数,保存以备发送信息是调用。
病毒运行时,会检查加载的进程是否为woool.dat,flywoool.dat,main.dat,woool188.dat中的一个,是的话,通过读取内存指定位置的方式,获取用户的帐号密码信息;
盗取帐号成功之后,病毒会创建线程循环发送盗取的信息到“qq***2d.a36.1**ns.com/529/529376cs/push.Asp”
京公网安备 11010802021500号