“酷狮子”系列盗号木马病毒原理分析

2017-11-30    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

  “酷狮子”系列木马的各个变种行为基本一直,有一个EXE文件,并且能释放DLL文件。

  “酷狮子”木马样本加载过程:

  “酷狮子”木马先把自己复制到Windows目录,并释放DLL到Windows目录下。接下来检查当前运行的目录是Windows,网游还是其他。当前目录是网游的情况,会先运行网游客户端,然后运行刚才复制到Window目录下的程序。当前目录是Windows的情况会加载DLL部分,然后处于等待状态。DLL成功盗号后,盗号EXE结束执行。

  如果当前目录不在上述情况中,盗号木马将会查找目标网游的目录,并执行下面操作:

  WOW:WOW.EXE改名为 W0W.EXE,将W0W.EXE设置为隐藏属性和系统文件属性;盗号木马改名为WOW.EXE。

  热血江湖:auncher.exe改名为launchar.exe,将launchar.exe设置为隐藏属性和系统文件属性;盗号木马改名为auncher.exe。

  完美世界、武林外传和诛仙用的相同客户端:elementclient.exe改名为elemontclient.exe,将elemontclient.exe设置为隐藏属性和系统文件属性;盗号木马改名为elementclient.exe。

  注:没有任何文件保护功能,假如网游需要更新客户端程序,该盗号木马将被清除。

  盗号部分:

  在固定偏移读取游戏关键内存数据,通过破解内存中的信息取得用户信息。由于是固定偏移,游戏程序的版本改动都可能导致盗号失败。

  正如前述,该系列木马是为个人“定做”的,用于接收盗号信息的网址都是不同的,但是参数是相同的。具体格式如下:

  User= 用户名&pass = 密码& ser = 服务器名_网络连接 &cangku =仓库密码

  &beizhu = 备注&rw = 等级 &pcname = 计算机名

  在诛仙盗号中发现的“cctvtvtvtvtD”(CCTV的粉丝?)

  在完美世界盗号中发现的“真情告白”:

  “ZHUZHUHENKEAI”

  “ZHUZHUSHITOUZHU”

  “WOLAOPOSHIDABENZHUHAHA”

  在另外一个完美世界盗号中发现:

  “QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”(“全体客户”是指用户?)

标签: 服务器 网络

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:Macro.Word97.Muck.b

下一篇:FBI称09年网络欺诈导致损失达5.6亿美元