pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,查找进程“360Tray.exe”和“360Safe.exe”,如存在则结束;在目录“%SystemRoot%\system32”下释放文件“tscfgwmijxsj.dll"和“tscfgwmijxsj.nls”;遍历当前进程查看是否存在“Game.exe”,若存在则结束;修改如下注册表健值,使得explorer.exe以及由explorer.exe启动的进程自动加载动态库“tscfgwmijxsj.dll”;病毒在临时文件夹目录“%temp%”下释放批处理1.tmp.bat,后执行自删除。
| Quote: | 项:
HKLM\SOFTWARE\Classes\CLSID\{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}\InProcServer32\
指向数据:C:\WINDOWS\system32\tscfgwmijxsj.dll
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
健值:{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}
指向数据为空
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
健值:tscfgwmijxsj.dll
指向数据:{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8} |
|
动态库“tscfgwmijxsj.dll”被装载运行后,以类名"TFrmM"查找游戏窗口,由游戏窗口获得游戏进程,后将自身注入;通过API函数SetWindowsHookExA设置鼠标键盘钩子,后台监视用户击键信息来获取游戏的“帐号”、“密码”以及“密保”,把所获信息通过“收信空间”的方式发至以下链接:
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
