pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析:
1 该样本程序被执行后,枚举顶层窗口,查找 诛仙2 进程,若找到就结束该进程。遍历注册表查找游戏安装目录。访问该目录下文本文件userdata\server\serverlist.txt" 查找“zhuxian”字符串。释放动态库ksuser.dll 替换该游戏安装目录下ksuser.dll"文件,属性设置为隐藏和系统文件
2,创建互斥体czxasdfgh,查找进程 avp.exe 和 RavMonD.exe 其一存在释放"%Temp%\zx.dll"动态库文件,属性设置为隐藏和系统文件,运行rundll32.exe加载zx.dll中的InstallService函数,退出。
3 查找进程 avp.exe 和RavMonD.exe 不存在,释放 "%Temp%\84615984.dll" (根据系统时间命名可变 )并加载运行。进而加载ksuser.dll,创建消息钩子。盗取游戏账号和密码,然后发送到指定地.
4 删除自己。
病毒创建文件:
游戏安装目录\ksuser.dll
%Temp%\84615984.dll
%Temp%\zx.dll
[ Last edited by pioneer on 2010-8-1 at 11:59 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
