本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.该样本会在%sys32dir%下释放360mon.dll和BeepEx.sys文件. 2.读取注册表，若发现360，则关闭360的注册表监控和恶意软件监控.

行为分析：
这是一个针对《大话西游3》的盗号木马。会盗取玩家的账号密码数据，发送给指定的收信地址。它具有一定程度的对抗能力，会试图阻止系统向用户发出异常警报。

描述：
1.该样本会在%sys32dir%下释放360mon.dll和BeepEx.sys文件.

2.读取注册表，若发现360，则关闭360的注册表监控和恶意软件监控.

3.通过特征码、窗口定位和游戏注册表键值来定位游戏。

4.注入winlogon.exe及调用WM_MOVE和WM_SETFOCUS的进程。

4.修改beep服务的文件指向，指向自己的BeepEx.sys文件还原ssdt，使安全软件失效。

5.通过HKLMSOFTWAREClassesCLSID{AEB6717E-7E19-21d2-97EE-00C04FD91972}InProcServer32: "C:WINDOWSsystem32360mon.dll"

HKLMSOFTWAREClassesCLSID{AEB6717E-7E19-21d2-97EE-00C04FD91972}InProcServer32ThreadingModel: "Apartment"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{AEB6717E-7E19-21d2-97EE-00C04FD91972}: ""

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyxy3safeDllName: "C:WINDOWSsystem32360mon.dll"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyxy3safeShutdown: "Shutdown"

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyxy3safeStartShell: "StartShell"

来启动.

6.获取游戏信息后，往收信地址发信。



发信地址

http://game.t****87.com:9898