技術解讀「熱血江湖盜號者94304」盜號木馬

News

技術解讀「熱血江湖盜號者94304」盜號木馬

【賽迪網-IT技術報道】Win32.Troj.GamesHackT.gu.94304是一個針對網絡遊戲《熱血江湖》的盜號木馬。它由一個病毒生成器自動生成，通過迫使用戶重新登錄遊戲的方法，暗中記錄用戶輸入的賬號和密碼。

病毒名稱(中文)：熱血江湖盜號者94304

病毒別名：Win32.Troj.GamesHackT.gu.94304同名變種

威脅級別：★☆☆☆☆

病毒類型：偷密碼的木馬

病毒長度：94304

影響系統：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為：

這是一個針對網絡遊戲《熱血江湖》的盜號木馬。它由一個病毒生成器自動生成，通過迫使用戶重新登錄遊戲的方法，暗中記錄用戶輸入的賬號和密碼。此外，它還具有一定的對抗能力，會破壞部分安全軟體的正常運行。

病毒作者為提高病毒製作的效率，通常都會使用自動生成器。完全一樣的一段病毒代碼，病毒作者只要稍微修改幾個進程名稱，就能得到多個病毒。我們在3月27日的病毒預警播報中，曾報道過一個英文名稱與本篇預警中的病毒相同的「天龍笨賊」，它們兩個很明顯就是由同一個病毒生成器製作出來的同名變種。

盜號木馬，盜取系統上的網絡遊戲《熱血江湖》的賬號信息。結束系統上的多個安全軟體的進程。

病毒運行後釋放以下病毒文件：

%systemroot%/system32/mseion.sys%systemroot%/system32/xjxr.dll%systemroot%/system32/xjxr.cfg

病毒首先枚舉本地進程，刪除系統上的 Client.exe 進程。(此進程為網絡遊戲《熱血江湖》遊戲進程)

刪除 %systemroot%/system32/mseion.sys 和 %systemroot%/system32/drivers/mselk.sys 兩個文件。(如存在則刪除)

設置 %systemroot%/system32/xjxr.dll 的文件屬性為 "系統" 和 "隱藏"。

創建線程加載 "%systemroot%/system32/xjxr.dll" 病毒文件。

獲取系統 cmd.exe 全路徑，通過執行 "%systemroot%/system32/cmd.exe /c del /"病毒源文件" 刪除病毒源文件。

判斷病毒文件當前注入的進程是否為以下進程，如是則結束進程：

360Tray.exe360Safe.exekiller_Gdwli32.exeQQDoctor.exeQQDoctorMain.exeAntiArp.exe

查找窗口類名 "Q360SafeMainClass" 和 "360AntiarpClass"，找到則結束進程。

查找窗口類名 "D3D Window"，窗口標題名 "YB_OnlineClient" 找到網絡遊戲《熱血江湖》的遊戲進程，並獲取遊戲進程的命令行。判斷是否

包含".rxjh.com.cn" 以確保是否為遊戲進程，盜取網絡遊戲《熱血江湖》的賬號信息。

病毒修改註冊表啟動項：

Key: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/WindowsValue: "AppInit_DLLs"Before Data: ""After Data: "mhtd.dll,qnefnaib.dll,ej.dll,uixauh.dll,hjiq.dll,kiluw.dll,dsfg.dll,yqhs.dll,oaijihzeuyouhz.dll,jemnaw.dll,cuhad.dll,laixuhz.dll,rfhx.dll,mnauygniqaixnaij.dll,oqnauhc.dll,xjxr.dll,utiemnaw.dll,sve.dll,wininat.dll,gnolnait.dll,zadnew.dll,htwx.dll,knaixnauhuoyizqq.dll,duygnef.dll,gmx.dll,nadgnohiac.dll,agzg.dll,qlihzouhgnfe.dll,bchib.dll,tzm.dll,r2.dll,bauhgnem.dll,eohsom.dll,fyom.dll,sauhad.dll,ijougiemnaw.dll,taijoad.dll,lnaixnauhqq.dll,idtj.dll,vhqq.dll,atgnehz.dll,rsqq.dll,tsqc.dll,vauyiqvlnaix.dll,wQ.dll,fmxh.dll,cty.dll,pahzij.dll,jz.dll,bz.dll,pyomielnux.dll,slcs.dll,xptyj.dll,umqj.dll,xqjy.dll,fifeei.dll,wtiemnaw.dll,uyomielnux.dll,vlihzouhgnfe.dll,2ty.dll,nauhgnem.dll,auhad.dll,rj.dll,hz.dll,naijihzeuyouhz.dll,xhqq.dll,jmx.dll,dgzg.dll,gsqq.dll,fz.dll,gnaixnauhuoyizqq.dll,gnolnait.dll,jsqc.dll,dqncj.dll,eve.dll,2nauygniqaixnaij.dll,niluw.dll,ijougiemnaw.dll,xhtd.dll,QQ.dll,sfhx.dll,gnaixnauhqq.dll,3auhad.dll,oadnew.dll,iemnaw.dll,qcsct.dll,oadgnohiac.dll,iqnauhc.dll,aixauh.dll,ddtj.dll,nuygnef.dll,uohsom.dll,gnefnaib.dll,ijiq.dll,hjxr.dll,naijoad.dll,naixuhz.dll,nahzij.dll,fmxh.dll,zqhs.dll,jsfg.dll,utgnehz.dll,uyom.dll,wtwx.dll,jghf.dll,msd.dll,asj.dll,her.dll,awf.dll,"

查找到的病毒加密的網址：

http:/ /g**gto.fe****ng123.net/u***d/mibao.asp?action=getpos&u=##

(

回上頁回首頁

免費客服專線

0800-600-386

【直營地點】
台北資料救援：115台北市南港區三重路19-11號E棟(南港軟體園區)
新竹資料救援：300新竹市東區光復路二段156號
新竹科學園區資料救援：新竹科學工業園區新安路5號4樓 (鴻海大樓裡面)
台南資料救援：700台南市中西區北門路一段57號 TEL:06-505-0005