win32.pswtroj.onlinegames.114688
病毒名稱(中文):
網遊搜刮器114688病毒別名:
威脅級別:
★★☆☆☆病毒類型:
偷密碼的木馬病毒長度:
114688影響係統:
win9x winme winnt win2000 winxp win2003
病毒行為:
這是一個針對目標極多的盜號者木馬。該木馬會被多個網絡服務所加載,能夠盜取《徵途》、《大話西遊》、《風雲》、《魔域》、《問道》、《誅仙》、《傳奇》等幾乎所有知名網絡遊戲的帳號。該木馬使用了基於spi的dll
木馬技術來進行木馬進程的隱藏,同時利用驅動來啓動和保護自身。
1.木馬運行以後在係統盤下的windowssystem32目錄創建四個文件:addrdhhelp.cfg,addrdhhelp.dll,mseam.sys,qdshm.dll
然後刪除木馬本身,其中qdshm.dll就是木馬本身,mseam.sys驅動來實現木馬的啓動和自保護,addrdhhelp.cfg是配置文件,addrdhhelp.dll實現盜號信息的發送.
發送網址:hxxp://www.2**od.com/
2.病毒dll運行後,首先判斷調用該dll模塊的文件名是否是svchost.exe和alg.exe,如果是表明已經被感染;
3.如果還未感染,則遍歷進程,尋找sqmapi32.dll,找到該進程,則提升權限,開闢空間,創建遠程綫程,即建立與遠程聯繫
的後門。
4.裝載qdshm.dll資源,創建進程將木馬程序嵌入到服務提供者的dll文件中。
5.利用wspstartup模塊,啓動係統網絡服務,同時木馬每次隨着係統啓動,自動跑起來。
6.該木馬主要危害是盜號。
7.該木馬使用了基於spi的dll木馬技術來進行木馬進程的隱藏。主要實現是利用在每個操作係統中都有係統網絡服務,
它們是在係統啓動時自動加載,而且很多是基於ip協議的。病毒作者寫了一個ip協議的傳輸服務提供者,並安裝在服務提供者數據庫的最前端,係統網絡服務就會加載木馬的服務提供者。再將木馬程序嵌入到服務提供者的dll文件中,在啓動係統網絡服務時木馬程序也會被啓動。
這種木馬的特點是衹需安裝一次,而後就會被自動加載到可執行文件的進程中,還有一個特點就是它會被多個網絡服務加載。通常在係統關閉時,係統網絡服務纔會結束,所以木馬程序同樣可以在係統運行時保持激活狀態。
在傳輸服務提供者中,有30個spi函數是以分配表的形式存在的。在ws2_32.dll中的大多數函數都有與之對應的傳輸服務提供者函數。如wsprecv和wspsend,它們在ws2_32.dll中的對應函數是wsarecv和wsasend。病毒作者編寫了一個基於ip協議的服務
提供者並安裝於係統之中,當係統重啓時它被svchost.exe程序加載了,而且svchost.exe在135/tcp監聽。在傳輸服務提供者中,重新編寫了wsprecv函數,對接收到的數據進行分析,如果其中含有客戶端發送過來的暗號,就執行相應的命令獲得期望的動作,之後可以調用wspsend函數將結果發送到客戶端,這樣不僅隱藏了進程,而且還重用了已有的端口。 |
|
|