pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1.创建进程快照,遍历查找“名将三国”进程wof.exe,如果找到则强行结束。
2.在系统临时目录创建%Temp%\TQ36.tmp,释放病毒程序到TQ36.tmp。
3.拷贝%Temp%\TQ36.tmp到%Temp%\QXQQw.DRV(随机名),拷贝%Temp%\TQ36.tmp到%SystemRoot%\system\QXQQw.DRV。
4.创建互斥体"__INF_dsound.dll__",拷贝一份%SystemRoot%\system32\dsound.dll为%SystemRoot%\system32\dsound.dll.mod作为备份,通过修改重新构造PE文件dsound.dll从而达到执行dsound.ll文件时运行病毒代码。
5.创建批处理文件%Temp%\delself.bat,写入自删除批处理命令,调用shell执行些批处理删除此文件后退出程序。
6.当运行程序时自动加载dsound.dll,执行病毒代码,创建键盘消息钩子盗取名将三国玩家游戏账号。
病毒创建文件:
%Temp%\TQ36.tmp
%Temp%\QXQQw.DRV(随机名)
%SystemRoot%\system\QXQQw.DRV
%SystemRoot%\system32\dsound.dll
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|