病毒名称(中文):热血江湖盗号者94304
病毒别名:Win32.Troj.GamesHackT.gu.94304同名变种
威胁级别:★☆☆☆☆
病毒类型:偷密码的木马
病毒长度:94304
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个针对网络游戏《热血江湖》的盗号木马。它由一个病毒生成器自动生成,通过迫使用户重新登录游戏的方法,暗中记录用户输入的账号和密码。此外,它还具有一定的对抗能力,会破坏部分安全软件的正常运行。
病毒作者为提高病毒制作的效率,通常都会使用自动生成器。完全一样的一段病毒代码,病毒作者只要稍微修改几个进程名称,就能得到多个病毒。我们在3月27日的病毒预警播报中,曾报道过一个英文名称与本篇预警中的病毒相同的“天龙笨贼”,它们两个很明显就是由同一个病毒生成器制作出来的同名变种。
盗号木马,盗取系统上的网络游戏《热血江湖》的账号信息。结束系统上的多个安全软件的进程。
病毒运行后释放以下病毒文件:
| %systemroot%\system32\mseion.sys %systemroot%\system32\xjxr.dll %systemroot%\system32\xjxr.cfg |
病毒首先枚举本地进程,删除系统上的 Client.exe 进程。(此进程为网络游戏《热血江湖》游戏进程)
删除 %systemroot%\system32\mseion.sys 和 %systemroot%\system32\drivers\mselk.sys 两个文件。(如存在则删除)
设置 %systemroot%\system32\xjxr.dll 的文件属性为 "系统" 和 "隐藏"。
创建线程加载 "%systemroot%\system32\xjxr.dll" 病毒文件。
获取系统 cmd.exe 全路径,通过执行 "%systemroot%\system32\cmd.exe /c del \"病毒源文件" 删除病毒源文件。
判断病毒文件当前注入的进程是否为以下进程,如是则结束进程:
| 360Tray.exe 360Safe.exe killer_Gdwli32.exe QQDoctor.exe QQDoctorMain.exe AntiArp.exe |
查找窗口类名 "Q360SafeMainClass" 和 "360AntiarpClass",找到则结束进程。
查找窗口类名 "D3D Window",窗口标题名 "YB_OnlineClient" 找到网络游戏《热血江湖》的游戏进程,并获取游戏进程的命令行。判断是否
包含".rxjh.com.cn" 以确保是否为游戏进程,盗取网络游戏《热血江湖》的账号信息。
病毒修改注册表启动项:
| Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Value: "AppInit_DLLs" Before Data: "" After Data: "mhtd.dll,qnefnaib.dll,ej.dll,uixauh.dll,hjiq.dll,kiluw.dll,dsfg.dll,yqhs.dll, oaijihzeuyouhz.dll,jemnaw.dll,cuhad.dll,laixuhz.dll,rfhx.dll,mnauygniqaixnaij.dll, oqnauhc.dll,xjxr.dll,utiemnaw.dll,sve.dll,wininat.dll,gnolnait.dll,zadnew.dll,htwx.dll, knaixnauhuoyizqq.dll,duygnef.dll,gmx.dll,nadgnohiac.dll,agzg.dll,qlihzouhgnfe.dll, bchib.dll,tzm.dll,r2.dll,bauhgnem.dll,eohsom.dll,fyom.dll,sauhad.dll,ijougiemnaw.dll, taijoad.dll,lnaixnauhqq.dll,idtj.dll,vhqq.dll,atgnehz.dll,rsqq.dll,tsqc.dll, vauyiqvlnaix.dll,wQ.dll,fmxh.dll,cty.dll,pahzij.dll,jz.dll,bz.dll,pyomielnux.dll, slcs.dll,xptyj.dll,umqj.dll,xqjy.dll,fifeei.dll,wtiemnaw.dll,uyomielnux.dll, vlihzouhgnfe.dll,2ty.dll,nauhgnem.dll,auhad.dll,rj.dll,hz.dll,naijihzeuyouhz.dll, xhqq.dll,jmx.dll,dgzg.dll,gsqq.dll,fz.dll,gnaixnauhuoyizqq.dll,gnolnait.dll,jsqc.dll, dqncj.dll,eve.dll,2nauygniqaixnaij.dll,niluw.dll,ijougiemnaw.dll,xhtd.dll,QQ.dll, sfhx.dll,gnaixnauhqq.dll,3auhad.dll,oadnew.dll,iemnaw.dll,qcsct.dll,oadgnohiac.dll, iqnauhc.dll,aixauh.dll,ddtj.dll,nuygnef.dll,uohsom.dll,gnefnaib.dll,ijiq.dll,hjxr.dll, naijoad.dll,naixuhz.dll,nahzij.dll,fmxh.dll,zqhs.dll,jsfg.dll,utgnehz.dll,uyom.dll, wtwx.dll,jghf.dll,msd.dll,asj.dll,her.dll,awf.dll," |
查找到的病毒加密的网址:
http:/ /g**gto.fe****ng123.net/u***d/mibao.asp?action=getpos&u=##
