这是一个针对《传奇》游戏的盗号木马。它伪装成一个音频驱动程序,破坏安全软件的正常运行,然后利用读取游戏内存的方式盗取玩家的帐号和密码。
病毒伪装成cdaudio.sys这个cd音频驱动程序
这个病毒会释放下列文件:
创建文件夹 C:\WINDOWS\LastGood
创建文件夹 C:\WINDOWS\LastGood\system32
创建文件夹 C:\WINDOWS\LastGood\system32\drivers
释放文件 C:\WINDOWS\LastGood\system32\drivers\cdaudio.sys
C:\WINDOWS\system32\kub12.dll
C:\WINDOWS\system32\kub12.exe
C:\WINDOWS\system32\dllcache\cdaudio.sys
大小为18,688 字节的C:\WINDOWS\system32\dllcache\cdaudio.sys为一个cd音频驱动,这个是病毒的伪装;
大小为2,784 字节的C:\WINDOWS\LastGood\system32\drivers\cdaudio.sys为病毒第一次运行时临时释放的用来恢复SSDT过杀毒软件的驱动;在系统重新启动过之后,病毒会删除掉整个C:\WINDOWS\LastGood文件夹,然后重新释放一个同样的驱动文件到%sys32dir%\Drivers\msIffei.sys之中来恢复SSDT;
为kub12.exe添加注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run kub12 "kub12.exe"
为msIffei.sys添加服务启动:
服务名为msIffei,指向System32\Drivers\msIffei.sys
病毒运行时,首先会检查自身路径是否为C:\WINDOWS\system32\kub12.exe,不是的话,查找kub12.exe,结束掉后,将自身复制到C:\WINDOWS\system32\kub12.exe后运行。
然后病毒加载C:\WINDOWS\system32\kub12.dll,获取并调用导出表函数
导出函数1为 添加 开启服务
导出函数2为 添加 exe的注册表启动项
导出函数3为 解密数据段
导出函数4为 遍历进程,查找"360tray.exe"
导出函数5为 提升权限为SeDebugPrivilege
导出函数6为 远程注入目标进程 在目标进程内加载病毒dll
导出函数7为 查找类名为TFrmMain和TDXDraw的窗口,找到就SendMessageA(hWnd,10h,0,0)到对应窗口
dll在加载后会首先检查加载进程名,如果是"explorer.exe","mir.exe","mir1.dat","mir2.dat"的话则创建的线程执行的盗号任务;
线程中功能为:设置计时器,每1000ms一次 检查进程,找传奇的进程找到就远程注入,加载dll到传奇中去
当进程为"mir.exe","mir1.dat","mir2.dat"则读取内存指定位置的方式,获取用户的帐号密码信息;
盗取帐号成功之后,病毒发送盗取的信息到 game.Wh****0314.com/quake/a.asp