科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Win32.Troj.OnlineGames.cq.69632

Win32.Troj.OnlineGames.cq.69632

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这是一个针对《传奇》游戏的盗号木马。它伪装成一个音频驱动程序,破坏安全软件的正常运行,然后利用读取游戏内存的方式盗取玩家的帐号和密码。

来源:论坛整理 2008年9月28日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
病毒名称(中文):
传奇武装盗号器69632
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
22720
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个针对《传奇》游戏的盗号木马。它伪装成一个音频驱动程序,破坏安全软件的正常运行,然后利用读取游戏内存的方式盗取玩家的帐号和密码。

病毒伪装成cdaudio.sys这个cd音频驱动程序

这个病毒会释放下列文件:
创建文件夹 C:\WINDOWS\LastGood
创建文件夹 C:\WINDOWS\LastGood\system32
创建文件夹 C:\WINDOWS\LastGood\system32\drivers
释放文件 C:\WINDOWS\LastGood\system32\drivers\cdaudio.sys
C:\WINDOWS\system32\kub12.dll
C:\WINDOWS\system32\kub12.exe
C:\WINDOWS\system32\dllcache\cdaudio.sys

大小为18,688 字节的C:\WINDOWS\system32\dllcache\cdaudio.sys为一个cd音频驱动,这个是病毒的伪装;

大小为2,784 字节的C:\WINDOWS\LastGood\system32\drivers\cdaudio.sys为病毒第一次运行时临时释放的用来恢复SSDT过杀毒软件的驱动;在系统重新启动过之后,病毒会删除掉整个C:\WINDOWS\LastGood文件夹,然后重新释放一个同样的驱动文件到%sys32dir%\Drivers\msIffei.sys之中来恢复SSDT;

为kub12.exe添加注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run kub12 "kub12.exe"
为msIffei.sys添加服务启动:
服务名为msIffei,指向System32\Drivers\msIffei.sys

病毒运行时,首先会检查自身路径是否为C:\WINDOWS\system32\kub12.exe,不是的话,查找kub12.exe,结束掉后,将自身复制到C:\WINDOWS\system32\kub12.exe后运行。

然后病毒加载C:\WINDOWS\system32\kub12.dll,获取并调用导出表函数
导出函数1为 添加 开启服务
导出函数2为 添加 exe的注册表启动项
导出函数3为 解密数据段
导出函数4为 遍历进程,查找"360tray.exe"
导出函数5为 提升权限为SeDebugPrivilege
导出函数6为 远程注入目标进程 在目标进程内加载病毒dll
导出函数7为 查找类名为TFrmMain和TDXDraw的窗口,找到就SendMessageA(hWnd,10h,0,0)到对应窗口

dll在加载后会首先检查加载进程名,如果是"explorer.exe","mir.exe","mir1.dat","mir2.dat"的话则创建的线程执行的盗号任务;
线程中功能为:设置计时器,每1000ms一次 检查进程,找传奇的进程找到就远程注入,加载dll到传奇中去

当进程为"mir.exe","mir1.dat","mir2.dat"则读取内存指定位置的方式,获取用户的帐号密码信息;

盗取帐号成功之后,病毒发送盗取的信息到 game.Wh****0314.com/quake/a.asp

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章