pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1.创建进程快照,遍历进程查找“elementclient.exe”进程,有则结束此进程;
2.遍历注册表项“MUICache“,查找完美国际游戏安装目录,在目录下创建动态库文件elementksuser.dll,加载该动态库,设置消息钩子,盗取用户游戏帐号和密码;
3.创建成互斥体“cgdmgjasdf12gh0705”,防止程序二次运行;
4. 遍历所有进程查找AVP.exe、RavMonD.exe、360rp.exe、360sd.exe、360tray.exe、360safe.exe进程,如果找到则结束这些安全进程;
5.如果找到以上安全进程,木马会在%Temp%目录下释放动态库文件g07g.dll,并设置文件为系统隐藏,调用cmd命令,以rundll32.exe加载该动态库,设置消息钩子,盗取游戏帐号密码等信息。
6.如果没有找到以上安全进程,便在%Temp%目录下释放动态库文件1636500g07.dll,设置文件属性为系统隐藏,加载库文件,设置消息钩子,盗取游戏账号和密码等信息。
7. 调用命令行自删除文件。
病毒创建文件:
完美国际安装目录\elementksuser.dll
%Temp%\1636500g07.dll
%Temp%\g07g.dll
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|