PE.OnLineGames.fx.20557

核心提示：病毒名称(中文):PE网游盗号器20557病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:20557影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个网游盗号木马，它能同时盗取《征途》、《彩虹岛》、《传奇世界》、《惊天动地》等网游，PE.OnLineGames

病毒名称(中文): PE网游盗号器20557
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 20557
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个网游盗号木马。它能同时盗取《征途》、《彩虹岛》、《传奇世界》、《惊天动地》等网游，以及“浩方对战平台”和QQ聊天工具的帐号密码。

把C:\WINDOWS\upxdnd.exe注册到注册表启动项
SoftWare\Microsoft\Windows\CurrentVersion\RUN下的upxdnd键，
键值为"C:\WINDOWS\upxdnd.exe"

提取自身资源，删除原系统的upxdnd.dll将刚才提取的资源释放一个到系统文件夹C:\WINDOWS\system32\upxdnd.dll。

遍历进程，找到explorer.exe的进程PID

向explorer.exe写入一段恶意代码，CreateRemoteThread创建远程线程，该线程的作用是每隔一段时间LoadLibraryC:\WINDOWS\system32\upxdnd.dll

LoadLibrary加载C:\WINDOWS\system32\upxdnd.dll

加载成功后调用SetWindowsHookExWH_CBT，
设置一个全局钩子，实现DLL向所有进程注入

病毒根据得到的路径可以得到加载了该DLL的进程名

1当前进程假如是zhengtu.dat征途：读取内存得到用户信息，抛出异常，异常处理过程将创建socket向网络(ip地址：121.10.104.93)发送数据的线程。结束游戏线程，并不断向内存特定位置写数据破坏游戏正常运行。

2当前进程假如是"LaTaleClient.EXE" 彩虹岛，创建一个处理线程，
该处理线程的作用，读取进程内存，找到用户信息的相关数据，解密出网址字符串
http://jt1.s****jj.com/cchh/lin.asp?ks=pig&a=%s&s=%s&u=%s&p=%s&sp=%s&r=%,将从内存中读到的用户信息传到网上

3当前进程假如是gameclient.exe浩方堆栈平台，读取进程内存，找到内存中某个特定的位置，抛出异常，异常处理过程将创建socket向网络(IP地址：1*1.10.1*4.93)发送数据的线程。不断向内存特定位置写数据破坏游戏正常运行。

4当前进程假如是"cabalmain.exe"（网游惊天动地），LoadLibraryGetPRocAddress得到SetUnhandledExceptionFilter.SetThreadContext函数地址，SetUnhandledExceptionFilter.注册一个回调函数，该回调函数的作用是，解密出一个URL字符串该字串
http://jt1.s****jj.com/cchh/lin.asp?ks=pig&a=%s&s=%s&u=%s&p=%s&sp=%s&r=%将用户信息以URL参数的形式发送到网上。

5当前进程假如是WOOO传奇世界，读取进程内存，找到内存中某个特定的位置，抛出异常，异常处理过程将创建socket向网络发送数据的线程。不断向内存特定位置写数据破坏游戏正常运行。

6当前进程假如是QQ.exe,读取内存找到和用户信息相关的要害位置调用，SetUnhandledExceptionFilter注册一个回调函数，该回调函数创建一个解密出IP地址字串，121.10.104.93创建socket向网络发送数据的线程。

7当前进程名假如是ElemntClient.exe，解密出字符串"ElemntClient.exe","ZElementClientWindow",FindWindowA找到游戏程序窗口，创建一个线程，该线程的作用是解密出IP地址字串，创建socket向网络发送数据的线程。