pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析:
(1)遍历进程,超找avp.exe和RavMonD.exe,找到后获取退出代码,结束该进程。
(2)再次获取进程快照,查找魔兽世界主程序wow.exe和魔兽后台更新程序BackgroundDownloader.exe是否运行,若运行则结束该进程
(3)打开魔兽世界游戏相应注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Blizzard Entertainment\World of Warcraft,查看该注册表项中相关信息,获取魔兽世界游戏安装路径。
(4)获取系统目录,将正常系统文件%SystemRoot%\system32\ksuser.dll复制为X\syslpk.dll(X为魔兽世界游戏安装目录)。并创建文件X\ksuser.dll和X\sysText.dll并将属性设置为系统隐藏。
(5)获取临时路径,创建文件%Temp%\54500128.dll(随机命名)并将属性设置为系统隐藏。加载该动态链接库文件,设置全局钩子获取用户账户相关信息。
(6)获取临时路名,创建动态链接库文件%Temp%\www.dll并设置为系统隐藏属性。完成后使用命令行,另rundll32.exe程序以"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\www.dll,InstallService C:\sample.exe"为参数调用该文件,用以删除样本本身。
(7)魔兽世界游戏一旦运行,便会默认自动加载病毒生成文件。获取用户游戏帐户密码等信息发送到指定邮箱。
病毒创建文件:
X\syslpk.dll
X\ksuser.dll
X\sysText.dll
%Temp%\54500128.dll(随机命名)
%Temp%\www.dll
病毒访问网络:
1386073**@163.com
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
