pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
1.查找注册表是否有该游戏的注册表项,如果有,则通过注册表查找游戏的安装目录。将系统目录下的lpk.dll复制到游戏安装目录下,并命名为syslpk.dll。然后在目录下创建lpk.dll和Gx3game.dll,利用感染的lpk.dll加载Gx3game.dll,设置消息钩子,盗取游戏账号和密码等信息。
2.如果没有找到游戏安装目录则创建名称为" mutexjx3031"的互斥体,防止程序二次运行。
3.遍历所有进程查找AVP.exe和RavMonD.exe进程,如果找到进程,会在%Temp%目录下释放动态库文件j3.dll,并设置文件为系统隐藏,调用cmd命令,以installserver方式调用rundll32.exe加载j3.dll,设置消息钩子,盗取游戏账号和密码等信息。
4.如果没有找到AVP.exe和RavMonD.exe进程,便在%Temp%目录下释放动态库文件30311796.dll,并设置文件属性为系统隐藏,加载库文件,设置消息钩子,盗取游戏账号和密码等信息。
5.自删除文件
病毒创建文件:
剑侠情缘3安装目录\lpk.dll
剑侠情缘3安装目录\syslpk.dll
剑侠情缘3安装目录\Gx3game.dll
%Temp%\30311796.dll
%Temp%\j3.dll
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
