本文详细解析了游戏大盗病毒Trojan-PSW.Win32.OnLineGames.dxf的运作机制,包括其如何通过衍生副本并修改注册表来窃取用户游戏账号信息,以及具体的清除步骤。
 病毒标签: | |
|
病毒名称: Trojan-PSW.Win32.OnLineGames.dxf
中文名称: 游戏大盗 病毒类型: ***类 文件 MD5: 53524DF08966CB17A07A4226F2624E7C 公开范围: 完全公开 危害等级: 4 文件长度: 脱壳前45,666 字节,脱壳后147,456 字节 感染系统: Windows9x以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay] | |
| 病毒描述: | |
|
该病毒运行后,衍生病毒副本到程序目录下,添加注册表hook项以引导病毒体。设置
钩子函数劫获相关进程消息,发送到病毒作者指定页面,以盗取用户游戏账号信息。由于 病毒只是简单的套用一个模式获取游戏信息,所以并不是对每一款游戏都有效。 | |
| 行为分析: | |
|
本地行为:
1、文件运行后会衍生副本:
%Program Files%\Common Files\Microsoft Shared
\MSINFO\SysInfo1.dll 2、新增注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID \{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}\InProcServer32\@ Value: String: "C:\Program Files\Common Files \Microsoft Shared\MSINFO\SysInfo1.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID \{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2} \InProcServer32\ThreadingModel Value: String: "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\ShellExecuteHooks \{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2} Value: String: """ 3、主要hook下列进程,劫获敏感信息发送到指定页面: elementclient.exe 《完美世界》 asktao.mod 《问道》 bo.exe 《刀剑OL》 woool.dat 《传奇世界》 main.exe 《奇迹》 kartrider.exe 《跑跑卡丁车》 audition.exe 《劲舞团》 _autopatch.exe 《魔域》 ca.exe 《泡泡堂》 soul.exe 《魔域》 freestyle.exe 《街头篮球》 mir3.exe 《传奇3》 cq.exe 《春秋Q传》 tianji.dat 《天机OL》 game.exe 《水浒Q传》 ogremain.dll 《天下图霸2》 zeroonline.exe 《机战ZeroOnline》 gameclient.exe 《浩方对战平台》 cabalmain.exe 《×××》 qqgame.exe 《QQ游戏平台》 igame.exe 《中国游戏中心》 lobbyshell.exe 《新浪游戏大厅》 注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的 位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \Documents and Settings \当前用户\Local Settings\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\Winnt\System32 windows95/98/me中默认的安装路径是C:\Windows\System windowsXP中默认的安装路径是C:\Windows\System32 | |
| 清除方案: | |
| |
转载于:https://blog.51cto.com/yuncx/47007
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
