“酷狮子”系列盗号木马病毒原理分析
2008-02-23 07:32:01来源:互联网 阅读 ()
“酷狮子”系列木马的各个变种行为基本一直,有一个EXE文件,并且能释放DLL文件。
“酷狮子”木马样本加载过程:
“酷狮子”木马先把自己复制到Windows目录,并释放DLL到Windows目录下。接下来检查当前运行的目录是Windows,网游还是其他。当前目录是网游的情况,会先运行网游客户端,然后运行刚才复制到Window目录下的程序。当前目录是Windows的情况会加载DLL部分,然后处于等待状态。DLL成功盗号后,盗号EXE结束执行。
如果当前目录不在上述情况中,盗号木马将会查找目标网游的目录,并执行下面操作:
WOW:WOW.EXE改名为 W0W.EXE,将W0W.EXE设置为隐藏属性和系统文件属性;盗号木马改名为WOW.EXE。
热血江湖:auncher.exe改名为launchar.exe,将launchar.exe设置为隐藏属性和系统文件属性;盗号木马改名为auncher.exe。
完美世界、武林外传和诛仙用的相同客户端:elementclient.exe改名为elemontclient.exe,将elemontclient.exe设置为隐藏属性和系统文件属性;盗号木马改名为elementclient.exe。
注:没有任何文件保护功能,假如网游需要更新客户端程序,该盗号木马将被清除。
盗号部分:
在固定偏移读取游戏关键内存数据,通过破解内存中的信息取得用户信息。由于是固定偏移,游戏程序的版本改动都可能导致盗号失败。
正如前述,该系列木马是为个人“定做”的,用于接收盗号信息的网址都是不同的,但是参数是相同的。具体格式如下:
User= 用户名&pass = 密码& ser = 服务器名_网络连接 &cangku =仓库密码
&beizhu = 备注&rw = 等级 &pcname = 计算机名
在诛仙盗号中发现的“cctvtvtvtvtD”(CCTV的粉丝?)
在完美世界盗号中发现的“真情告白”:
“ZHUZHUHENKEAI”
“ZHUZHUSHITOUZHU”
“WOLAOPOSHIDABENZHUHAHA”
在另外一个完美世界盗号中发现:
“QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”(“全体客户”是指用户?)
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash