pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
1、创建进程快照,查找进程QQSG.exe,如果找到,则结束该进程
2、查找QQ三国注册表项HKEY_CURRENT_USER\Software\Tencent\QQSG\SYS,如果找到该项,则利用“path”项里的设置值找到游戏安装目录;找到后,将正常系统文件%SystemRoot%\system32\lpk.dll复制到在游戏安装目录下,并将其改名为syswim.dll,同时在游戏目录下释放文件qqsginit.dll和lpk.dll,并将两个文件的属性设置为系统隐藏,游戏启动过程中,调用被感染的lpk.dll启动qqsginit.dll,qqsginit.dll创建消息钩子获取用户游戏帐号和密码信息,发送到黑客地址;
3、木马在%Temp%目录下创建动态库1240312n16.dll和配置文件maindll.ini;
4、打开互斥体“killmulit”,如果没有找到相同互斥量,创建进程快照查找avp.exe、RavMonD.exe、360rp.exe、360sd.exe、360tray.exe、360safe.exe进程;
5、如果没有找到这些进程,病毒会以"wdon","wdof"为参数加载该动态库,建立消息钩子,盗取用户游戏账号等信息;
6、如果找到杀软进程中的一个,木马会遍历所有磁盘目录查找文件“QQSG.exe”,然后在%Temp%目录下创建文件n16d.dll,运行cmd命令,调用系统rundll32.exe以参数deleteself加载该动态库,,建立消息钩子,盗取用户游戏账号等信息,删除木马原文件;
病毒创建文件:
游戏安装目录\Lpk.dll
游戏安装目录\syswim.dll
游戏安装目录\qqsginit.dll
%Temp%\1240312n16.dll
%Temp%\maindll.ini
%Temp%\n16d.dll
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
