本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1: 原始exe 病毒源文件释放一个dll到Temp文件夹中，名为 XXXXXX.BIN ,然后“rundll32 %s tttt %s”从导出表tttt处加载病毒dll文件 2: XXXXXX.BIN tttt：加载

行为分析：
这是一个网游盗号木马。它的目标是《地下城勇士》、《QQ华夏》等QQ游戏和QQ聊天工具的帐号密码。它具有一定程度的对抗能力，会修改系统文件和游戏的自保护驱动文件。

描述：
1:

原始exe

病毒源文件释放一个dll到Temp文件夹中，名为 XXXXXX.BIN ,然后“rundll32 %s tttt %s”从导出表tttt处加载病毒dll文件



2:

XXXXXX.BIN

tttt：加载

释放一个sh17015.add到%sys32dir%系统目录

复制自身到 %sys32dir%名为csrss.dll

删除%sys32dir%ServicePackFilesi386
pcss.dll和%sys32dir%dllcache\rpcss.dll



把%sys32dir%
pcss.dll重命名为%sys32dir%spcss.dll

复制自身到%sys32dir%
pcss.dll



释放资源区到%sys32dir%sh17015.dll



修改文件时间信息



DllEntryPoint：加载

提升权限，线程注入将自身LoadLibrary加载进csrss.exe，explorer.exe，svchost.exe

创建线程不停的 查找%sys32dir%目录下的shXXXXXX.dll,LoadLibrary加载这个dll

提权做与上面相同的释放文件，替换操作

添加注册表服务

HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServices rpcss.dll

线程注入，LoadLibrary %sys32dir%csrss.dll进csrss.exe线程 通过互斥体"csrss.exeMutex"



3：

%sys32dir%sh17015.dll：

读取sh17015.add，查找模块tenqqaccount.dll，DNF.exe，QQLogin.exe盗号



释放资源区到%sys32dir%sh17015.exe



执行



4：

%sys32dir%sh17015.exe

生成名为antisg.sys的驱动文件到当前目录下：

c:Documents and SettingsAdministrator桌面antisg.sys

创建服务，开启服务，然后删除掉该antisg.sys文件



5：

修改TesSafe.sys，将其中的某些位置的代码 nop掉，使之失效