WEB开发网
开发学院网络安全病毒数据库 PE.OnLineGames.fx.20557 阅读

PE.OnLineGames.fx.20557

 2008-08-11 20:26:34 来源:WEB开发网   
核心提示:病毒名称(中文):PE网游盗号器20557病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:20557影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个网游盗号木马,它能同时盗取《征途》、《彩虹岛》、《传奇世界》、《惊天动地》等网游,PE.OnLineGames
病毒名称(中文): PE网游盗号器20557
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 20557
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个网游盗号木马。它能同时盗取《征途》、《彩虹岛》、《传奇世界》、《惊天动地》等网游,以及“浩方对战平台”和QQ聊天工具的帐号密码。

把C:\WINDOWS\upxdnd.exe注册到注册表启动项
SoftWare\Microsoft\Windows\CurrentVersion\RUN下的upxdnd键,
键值为"C:\WINDOWS\upxdnd.exe"

提取自身资源,删除原系统的upxdnd.dll将刚才提取的资源释放一个到系统文件夹C:\WINDOWS\system32\upxdnd.dll。

遍历进程,找到explorer.exe的进程PID

向explorer.exe写入一段恶意代码,CreateRemoteThread创建远程线程,该线程的作用是每隔一段时间LoadLibraryC:\WINDOWS\system32\upxdnd.dll

LoadLibrary加载C:\WINDOWS\system32\upxdnd.dll

加载成功后调用SetWindowsHookExWH_CBT,
设置一个全局钩子,实现DLL向所有进程注入

病毒根据得到的路径可以得到加载了该DLL的进程名

1当前进程假如是zhengtu.dat征途:读取内存得到用户信息,抛出异常,异常处理过程将创建socket向网络(ip地址:121.10.104.93)发送数据的线程。结束游戏线程,并不断向内存特定位置写数据破坏游戏正常运行。

2当前进程假如是"LaTaleClient.EXE" 彩虹岛,创建一个处理线程,
该处理线程的作用,读取进程内存,找到用户信息的相关数据,解密出网址字符串
http://jt1.s****jj.com/cchh/lin.asp?ks=pig&a=%s&s=%s&u=%s&p=%s&sp=%s&r=%,将从内存中读到的用户信息传到网上

3当前进程假如是gameclient.exe浩方堆栈平台,读取进程内存,找到内存中某个特定的位置,抛出异常,异常处理过程将创建socket向网络(IP地址:1*1.10.1*4.93)发送数据的线程。不断向内存特定位置写数据破坏游戏正常运行。

4当前进程假如是"cabalmain.exe"(网游惊天动地),LoadLibraryGetPRocAddress得到SetUnhandledExceptionFilter.SetThreadContext函数地址,SetUnhandledExceptionFilter.注册一个回调函数,该回调函数的作用是,解密出一个URL字符串该字串
http://jt1.s****jj.com/cchh/lin.asp?ks=pig&a=%s&s=%s&u=%s&p=%s&sp=%s&r=%将用户信息以URL参数的形式发送到网上。

5当前进程假如是WOOO传奇世界,读取进程内存,找到内存中某个特定的位置,抛出异常,异常处理过程将创建socket向网络发送数据的线程。不断向内存特定位置写数据破坏游戏正常运行。

6当前进程假如是QQ.exe,读取内存找到和用户信息相关的要害位置调用,SetUnhandledExceptionFilter注册一个回调函数,该回调函数创建一个解密出IP地址字串,121.10.104.93创建socket向网络发送数据的线程。

7当前进程名假如是ElemntClient.exe,解密出字符串"ElemntClient.exe","ZElementClientWindow",FindWindowA找到游戏程序窗口,创建一个线程,该线程的作用是解密出IP地址字串,创建socket向网络发送数据的线程。







Tags:PE OnLineGames fx

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接