pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1.首先遍历进程查找tw2.exe,如果找到则结束该游戏进程。
2.进入注册表MUICache,枚举所有目录查找游戏所在注册表项,查找游戏安装目录。如果找到游戏目录,存在相应注册表项tw2.exe、boost.exe、tw2lautch.exe,刚在游戏目录下创建LangIDksuser.dll,设置文件为系统隐藏,加载该动态库,设置消息钩子,盗取用户游戏帐号和密码。
3.创建名称为"ctw2asdfgh"的互斥体,防止程序二次运行。
4.遍历所有进程查找AVP.exe和RavMonD.exe进程,如果找到进程,会在%Temp%目录下释放动态库文件t24t.dll,并设置文件为系统隐藏,调用cmd命令,以rundll32.exe加载该动态库,设置全局消息钩子,盗取游戏帐号密码等信息。
5.如果没有找到AVP.exe和RavMonD.exe进程,便在%Temp%目录下释放动态库文件968t24.dll(t24前几位文件名随机)并设置文件属性为系统隐藏,加载库文件,设置全局消息钩子,盗取游戏账号和密码等信息。
6.调用命令行自删除文件。
病毒创建文件:
天下贰安装目录\LangIDksuser.dll
%Temp%\968t24.dll
%Temp%\t24t.dll
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|