pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1.木马首先创建互斥体“wow0810”,防止程序多次运行;
2.创建进程快照,查找是否有wow.exe和BackgroundDownloader.exe进程,有则结束这两个进程;
3、查找是否有注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Blizzard Entertainment\World of Warcraft;如果有,利用“installpath”查找魔兽世界游戏安装目录,在目录下创建wfsjowfdsaw.dll,将系统ksuser.dll动态库移动到自己目录下,利用系统dll加载该动态库,设置消息钩子,盗取用户游戏帐号和密码。
4.遍历所有进程查找AVP.exe和RavMonD.exe进程,如果找到进程,会在%Temp%目录下释放动态库文件m16t2.dll,并设置文件为系统隐藏,调用cmd命令,以rundll32.exe加载该动态库,设置消息钩子,盗取游戏帐号密码等信息。
5.如果没有找到AVP.exe和RavMonD.exe进程,便在%Temp%目录下释放动态库文件3927937m16t.dll,设置文件属性为系统隐藏,加载库文件,设置消息钩子,盗取游戏账号和密码等信息。
6.调用命令行自删除文件。
病毒创建文件:
魔兽世界安装目录\wfsjowfdsaw.dll
%Temp%\3927937m16t.dll
%Temp%\m16t2.dll
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|