pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1.首先查找窗口是否有“龙之谷”窗口,有则结束掉该窗口。
2、进入注册表MUICache,查找是否有dragonnest.exe、DNLauncher.exe项;如果有,利用注册表项查找龙之谷游戏安装目录,在目录下创建LangIDksuser.dll,加载该动态库,设置消息钩子,盗取用户游戏帐号和密码。
3.创建名称为"lzgasdfgh0818"的互斥体,防止程序二次运行。
4.遍历所有进程查找AVP.exe和1111.exe进程,如果找到进程,会在%Temp%目录下释放动态库文件L32L.dll,并设置文件为系统隐藏,调用cmd命令,以rundll32.exe加载该动态库,设置全局消息钩子,盗取游戏帐号密码等信息。
5.如果没有找到AVP.exe和1111.exe进程,便在%Temp%目录下释放动态库文件t4c8b65L32.dll,设置文件属性为系统隐藏,加载库文件,设置消息钩子,盗取游戏账号和密码等信息。
6.调用命令行自删除文件。
病毒创建文件:
龙之谷安装目录\LangIDksuser.dll
%Temp%\t4c8b65L32.dll
%Temp%\L32L.dll
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|