【賽迪網-IT技術報道】【社區整理】Win32.Troj.GamesHackT.gu.94304是一個針對網絡遊戲《熱血江湖》的盜號木馬。它由一個病毒生成器自動生成,通過迫使用戶重新登錄遊戲的方法,暗中記錄用戶輸入的賬號和密碼。
病毒名稱(中文):熱血江湖盜號者94304
病毒別名:Win32.Troj.GamesHackT.gu.94304同名變種
威脅級別:★☆☆☆☆
病毒類型:偷密碼的木馬
病毒長度:94304
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
這是一個針對網絡遊戲《熱血江湖》的盜號木馬。它由一個病毒生成器自動生成,通過迫使用戶重新登錄遊戲的方法,暗中記錄用戶輸入的賬號和密碼。此外,它還具有一定的對抗能力,會破壞部分安全軟體的正常運行。
病毒作者為提高病毒製作的效率,通常都會使用自動生成器。完全一樣的一段病毒代碼,病毒作者只要稍微修改幾個進程名稱,就能得到多個病毒。我們在3月27日的病毒預警播報中,曾報道過一個英文名稱與本篇預警中的病毒相同的「天龍笨賊」,它們兩個很明顯就是由同一個病毒生成器製作出來的同名變種盜號木馬,盜取系統上的網絡遊戲《熱血江湖》的賬號信息。結束系統上的多個安全軟體的進程。
病毒運行後釋放以下病毒文件:
|
病毒首先枚舉本地進程,刪除系統上的Client.exe進程。(此進程為網絡遊戲《熱血江湖》遊戲進程)
刪除%systemroot%/system32/mseion.sys和%systemroot%/system32/drivers/mselk.sys兩個文件(如存在則刪除)。
設置%systemroot%/system32/xjxr.dll的文件屬性為"系統"和"隱藏"。
創建線程加載"%systemroot%/system32/xjxr.dll"病毒文件。
獲取系統cmd.exe全路徑,通過執行"%systemroot%/system32/cmd.exe /c del/"病毒源文件" 刪除病毒源文件。
判斷病毒文件當前注入的進程是否為以下進程,如是則結束進程:
|
查找窗口類名 "Q360SafeMainClass" 和 "360AntiarpClass",找到則結束進程。查找窗口類名"D3D Window",窗口標題名 "YB_OnlineClient" 找到網絡遊戲《熱血江湖》的遊戲進程,並獲取遊戲進程的命令行。判斷是否包含".rxjh.com.cn"以確保是否為遊戲進程,盜取網絡遊戲《熱血江湖》的賬號信息。
病毒修改註冊表啟動項:
|
(