这是一个黑客木马程序。它表面上是个《传奇》游戏的私服插件,能自动练级,但却会在后台悄悄下载病毒木马。
病毒经过加壳处理
运行后释放复制自身到下列目录:
%sys32dir%\service.exe
添加注册表
1 = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TRACKINGSS
2 = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrackingSS
3 = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vxd\TrackingSS
创建系统服务启动:
Key: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrackingSS"
ImagePath: "C:\WINNT\System32\service.exe"
DisplayName: "Distributed Link Tracking Client Service"
ObjectName: "LocalSystem"
病毒运行后连接"802.d***f.com",这是另外一个传奇私服网站,从这个地址获取参数和命令行,
如果参数为"M2:"的话,病毒会打开一个记事本程序,然后注入记事本,内容为登录"Mir182"这个私服,设置多段的sleep,每隔一段时间,就会刷屏骂人,内容为国骂,见人骂人,见佛骂佛;创建线程登录mir182私服,自动整理身上的装备,外挂练级。
如果参数是"DOWNLOAD:"的话,则会从获取的地址下载其他病毒到系统目录下执行。
如果参数是"REMOVE:"的话,病毒会删除TrackingSS服务,删除自身。