金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.Troj.OnlineGames.cq.69632
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
病毒伪装成cdaudio.sys这个cd音频驱动程序 这个病毒会释放下列文件: 创建文件夹 C:WINDOWSLastGood 创建文件夹 C:WINDOWSLastGoodsystem32
行为分析:
这是一个针对《传奇》游戏的盗号木马。它伪装成一个音频驱动程序,破坏安全软件的正常运行,然后利用读取游戏内存的方式盗取玩家的帐号和密码。
:
影响系统:
Win9x,WinMe,Linux
简介:
病毒伪装成cdaudio.sys这个cd音频驱动程序 这个病毒会释放下列文件: 创建文件夹 C:WINDOWSLastGood 创建文件夹 C:WINDOWSLastGoodsystem32
行为分析:
这是一个针对《传奇》游戏的盗号木马。它伪装成一个音频驱动程序,破坏安全软件的正常运行,然后利用读取游戏内存的方式盗取玩家的帐号和密码。
描述:
病毒伪装成cdaudio.sys这个cd音频驱动程序
这个病毒会释放下列文件:
创建文件夹 C:WINDOWSLastGood
创建文件夹 C:WINDOWSLastGoodsystem32
创建文件夹 C:WINDOWSLastGoodsystem32drivers
释放文件 C:WINDOWSLastGoodsystem32driverscdaudio.sys
C:WINDOWSsystem32kub12.dll
C:WINDOWSsystem32kub12.exe
C:WINDOWSsystem32dllcachecdaudio.sys
大小为18,688 字节的C:WINDOWSsystem32dllcachecdaudio.sys为一个cd音频驱动,这个是病毒的伪装;
大小为2,784 字节的C:WINDOWSLastGoodsystem32driverscdaudio.sys为病毒第一次运行时临时释放的用来恢复SSDT过杀毒软件的驱动;在系统重新启动过之后,病毒会删除掉整个C:WINDOWSLastGood文件夹,然后重新释放一个同样的驱动文件到%sys32dir%DriversmsIffei.sys之中来恢复SSDT;
为kub12.exe添加注册表启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun kub12 "kub12.exe"
为msIffei.sys添加服务启动:
服务名为msIffei,指向System32DriversmsIffei.sys
病毒运行时,首先会检查自身路径是否为C:WINDOWSsystem32kub12.exe,不是的话,查找kub12.exe,结束掉后,将自身复制到C:WINDOWSsystem32kub12.exe后运行。
然后病毒加载C:WINDOWSsystem32kub12.dll,获取并调用导出表函数
导出函数1为 添加 开启服务
导出函数2为 添加 exe的注册表启动项
导出函数3为 解密数据段
导出函数4为 遍历进程,查找"360tray.exe"
导出函数5为 提升权限为SeDebugPrivilege
导出函数6为 远程注入目标进程 在目标进程内加载病毒dll
导出函数7为 查找类名为TFrmMain和TDXDraw的窗口,找到就SendMessageA(hWnd,10h,0,0)到对应窗口
dll在加载后会首先检查加载进程名,如果是"explorer.exe","mir.exe","mir1.dat","mir2.dat"的话则创建的线程执行的盗号任务;
线程中功能为:设置计时器,每1000ms一次 检查进程,找传奇的进程找到就远程注入,加载dll到传奇中去
当进程为"mir.exe","mir1.dat","mir2.dat"则读取内存指定位置的方式,获取用户的帐号密码信息;
盗取帐号成功之后,病毒发送盗取的信息到 game.Wh****0314.com/quake/a.asp
病毒伪装成cdaudio.sys这个cd音频驱动程序
这个病毒会释放下列文件:
创建文件夹 C:WINDOWSLastGood
创建文件夹 C:WINDOWSLastGoodsystem32
创建文件夹 C:WINDOWSLastGoodsystem32drivers
释放文件 C:WINDOWSLastGoodsystem32driverscdaudio.sys
C:WINDOWSsystem32kub12.dll
C:WINDOWSsystem32kub12.exe
C:WINDOWSsystem32dllcachecdaudio.sys
大小为18,688 字节的C:WINDOWSsystem32dllcachecdaudio.sys为一个cd音频驱动,这个是病毒的伪装;
大小为2,784 字节的C:WINDOWSLastGoodsystem32driverscdaudio.sys为病毒第一次运行时临时释放的用来恢复SSDT过杀毒软件的驱动;在系统重新启动过之后,病毒会删除掉整个C:WINDOWSLastGood文件夹,然后重新释放一个同样的驱动文件到%sys32dir%DriversmsIffei.sys之中来恢复SSDT;
为kub12.exe添加注册表启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun kub12 "kub12.exe"
为msIffei.sys添加服务启动:
服务名为msIffei,指向System32DriversmsIffei.sys
病毒运行时,首先会检查自身路径是否为C:WINDOWSsystem32kub12.exe,不是的话,查找kub12.exe,结束掉后,将自身复制到C:WINDOWSsystem32kub12.exe后运行。
然后病毒加载C:WINDOWSsystem32kub12.dll,获取并调用导出表函数
导出函数1为 添加 开启服务
导出函数2为 添加 exe的注册表启动项
导出函数3为 解密数据段
导出函数4为 遍历进程,查找"360tray.exe"
导出函数5为 提升权限为SeDebugPrivilege
导出函数6为 远程注入目标进程 在目标进程内加载病毒dll
导出函数7为 查找类名为TFrmMain和TDXDraw的窗口,找到就SendMessageA(hWnd,10h,0,0)到对应窗口
dll在加载后会首先检查加载进程名,如果是"explorer.exe","mir.exe","mir1.dat","mir2.dat"的话则创建的线程执行的盗号任务;
线程中功能为:设置计时器,每1000ms一次 检查进程,找传奇的进程找到就远程注入,加载dll到传奇中去
当进程为"mir.exe","mir1.dat","mir2.dat"则读取内存指定位置的方式,获取用户的帐号密码信息;
盗取帐号成功之后,病毒发送盗取的信息到 game.Wh****0314.com/quake/a.asp
回复
评论病毒
