| 订阅 | 在线投稿
分享
 
 
 

Win32.PSWTroj.QQSG.br.94312

来源:互联网  宽屏版  评论
2008-08-14 23:02:36

病毒名称(中文):

QQ三国盗贼94312

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

偷密码的木马

病毒长度:

16864

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个盗取网络游戏“QQ三国”帐号的盗号木马变种。该病毒进入系统后会关闭360安全卫士和Gdwli32盗号木马专杀的窗口和进程,并伺机窃取网络游戏QQ三国的用户帐号、密码、密保等信息,然后发送给木马种植者。

(1)生成文件

%sys32dir%\gdqqsgi32.cfg

%sys32dir%\gdqqsgi32.dll

%sys32dir%\drivers\msconkt.sys

(2)生成注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASYNCMAC

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QQSG

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CCDECODE

(3)修改注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMacStartdword:00000003dword:00000002

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMacImagePathsystem32\DRIVERS\msconkt.sys

(4)注册以下系统服务项

服务名:CCDECODE

描述:RASAsynchronousMediaDriver

显示名称:RASAsynchronousMediaDriver

映像路径:system32\DRIVERS\msconkt.sys

启动类型:自动

(5)注册以下系统服务项

服务名:AsyncMac

描述:RASAsynchronousMediaDriver

显示名称:RASAsynchronousMediaDriver

映像路径:system32\DRIVERS\msconkt.sys

启动类型:自动

(6)msconkt.sys驱动会搜索addr%shelp、GD%sI32、bj%srl等dll文件并加载,将其注入到其后运行的进程中

%s可能为如下要害字:

WMTW

EVEEVE-Online

XLMY

JZ

XMJ

XWTW

CQSJ传奇世界

YT2

JX2剑侠情缘II

DTHX

DH3

JR

QQSGQQ三国

JTDD惊天动地

ZHTU

ZH战火

HX

LRTW

ZYZJ

QQ

QQHX

MH

SHQZ

DH

BF

DJ

ZF

MS

ZX

PTYJ

FY

ZYHX

RXJH

HnXa

GFSJ

TL

HXMF

WD

GJ

WL武林

GZGD光之国度

MOY魔域

QJ奇迹

CHD彩虹岛

CQ传奇

DHY

可以看出以上要害字大都为网络游戏的缩写

(7)gdqqsgi32.dll通过注入进程,搜索窗口和进程是否存在,假如存在则调用TerminateProcess强制关闭窗口进程

Gdwli32盗号木马专杀v1.0

奇虎360安全卫士

(8)gdqqsgi32.dll通过注入进程,监控有"请输入角色密码:"、"请输入仓库密码:"等信息的窗口,通过内存读写方式

盗取网络游戏QQ三国的用户帐号、密码、密保等信息,发送至以下网址:

hxxp://www.n**1*0.com/sanguo/lin.asp?a=%s&s=%s&u=%s&p=%s[%s]&pin=%s&r=%s&l=%d&m=%d

病毒名称(中文): QQ三国盗贼94312 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 16864 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个盗取网络游戏“QQ三国”帐号的盗号木马变种。该病毒进入系统后会关闭360安全卫士和Gdwli32盗号木马专杀的窗口和进程,并伺机窃取网络游戏QQ三国的用户帐号、密码、密保等信息,然后发送给木马种植者。 (1)生成文件 %sys32dir%\gdqqsgi32.cfg %sys32dir%\gdqqsgi32.dll %sys32dir%\drivers\msconkt.sys (2)生成注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASYNCMAC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QQSG HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CCDECODE (3)修改注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac Start dword:00000003 dword:00000002 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac ImagePath system32\DRIVERS\msconkt.sys (4)注册以下系统服务项 服务名:CCDECODE 描述:RASAsynchronousMediaDriver 显示名称:RASAsynchronousMediaDriver 映像路径:system32\DRIVERS\msconkt.sys 启动类型:自动 (5)注册以下系统服务项 服务名:AsyncMac 描述:RASAsynchronousMediaDriver 显示名称:RASAsynchronousMediaDriver 映像路径:system32\DRIVERS\msconkt.sys 启动类型:自动 (6)msconkt.sys驱动会搜索addr%shelp、GD%sI32、bj%srl等dll文件并加载,将其注入到其后运行的进程中 %s可能为如下要害字: WMTW EVEEVE-Online XLMY JZ XMJ XWTW CQSJ传奇世界 YT2 JX2剑侠情缘II DTHX DH3 JR QQSGQQ三国 JTDD惊天动地 ZHTU ZH战火 HX LRTW ZYZJ QQ QQHX MH SHQZ DH BF DJ ZF MS ZX PTYJ FY ZYHX RXJH HnXa GFSJ TL HXMF WD GJ WL武林 GZGD光之国度 MOY魔域 QJ奇迹 CHD彩虹岛 CQ传奇 DHY 可以看出以上要害字大都为网络游戏的缩写 (7)gdqqsgi32.dll通过注入进程,搜索窗口和进程是否存在,假如存在则调用TerminateProcess强制关闭窗口进程 Gdwli32盗号木马专杀v1.0 奇虎360安全卫士 (8)gdqqsgi32.dll通过注入进程,监控有"请输入角色密码:"、"请输入仓库密码:"等信息的窗口,通过内存读写方式 盗取网络游戏QQ三国的用户帐号、密码、密保等信息,发送至以下网址: hxxp://www.n**1*0.com/sanguo/lin.asp?a=%s&s=%s&u=%s&p=%s[%s]&pin=%s&r=%s&l=%d&m=%d
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号wangchaonetcn
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有