詳盡分析偷取密碼的「夢幻西遊盜號者」
【賽迪網-IT技術報道】「夢幻西遊盜號者17408」(PE.Win32.PSWTroj.OnLineGames.17408)是一個盜號木馬程序。該程序會盜取網絡遊戲《夢幻西遊》的賬號信息,並下載其它病毒至受害電腦上運行。
病毒名稱(中文):夢幻西遊盜號者17408
威脅級別:★☆☆☆☆
病毒類型:偷密碼的木馬
病毒長度:7408
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
這是一個盜號木馬程序。該程序會盜取網絡遊戲《夢幻西遊》的賬號信息,並下載其它病毒至受害電腦上運行。
1.程序運行後,生成病毒所需文件
%Temp%/D3D9_32.DLL%Temp%/D3D9_64.DLL%Temp%/DXDLG.EXE%system32%/D3D9_32.DLL%system32%/D3D9_32.DLL%system32%/DXDLG.EXE%system32%REGKEY.hiv |
2.創建批處理程序,將自己的源文件刪除,避免被用戶發現。
3.在註冊表中添加了註冊項,設為自啟動,如下:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run DXDLG32 "DXDLG.exe"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run MSDWG32 "LYLoadbr.exe"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run MSDCG32 "LYLeador.exe"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run MSDOG32 "LYLoador.exe"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run MSDSG32 "LYLoadar.exe"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run MSDMG32 "LYLoadmr.exe"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run MSDHG32 "LYLoadhr.exe"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run MSDQG32 "LYLoadqr.exe" |
4.將生成的LYL文件注入系統進程services.exe中,並加載MSDEG32.DLL和mhsha1.dat,搜索夢幻西遊的進程「MY.EXE」。同時利用MSDEG32.DLL文件來枚舉窗口名,查找是否有名字為「夢幻西遊」的遊戲窗口。一旦發現目標,病毒就會通過記憶體讀寫的方式竊取玩家的賬號信息,並將其發送到http://www.r****wd.com/c**/、http://www.5****1.com等木馬作者指定的多個遠程伺服器。
5.另外,該病毒還會從遠程伺服器下載其他病毒文件安裝至本地計算機。
(