pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析:
1.创建互斥体防止病毒重复运行。
2.打开注册表HKEY_LOCAL_MACHINE\SOFTWARE\Blizzard Entertainment\World of Warcraft,枚举其键值项,查找名称为“InstallPath”的键值项,获得其键值(即魔兽世界安装目录)。
3.如果找到魔兽世界安装目录则释放病毒程序到魔兽世界安装目录\msdfjsadfjd.dat,并设置其隐藏属性,否则释放病毒程序到%Temp%\msdfjsadfjd.dat。
4.创建进程快照,遍历查找是否有魔兽世界进程wow.exe和安全软件进程avp.exe等,如果有则循环判断进程是否存在,直到以上进程不存在时继续下一步操作。
5.判断病毒自身是否在%Temp%\wsasystem.gif,如果不是则拷贝自身到为此文件,执行此文件后退出病毒运行。
6.修改魔兽世界正常文件divxdecoder.dll,通过修改其PE结构使其在不破坏原有程序功能的基础上增加木马作者的恶意代码。
7.为msdfjsadfjd.dat创建文件映射对象,映射到魔兽世界相关程序的的地址空间中,挂钩相关函数创建全局键盘钩子,盗取玩家账号密码。
病毒创建文件:
%Temp%\wsasystem.gif
魔兽世界安装目录\msdfjsadfjd.dat
病毒修改文件
魔兽世界安装目录\divxdecoder.dll
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|