魔域的一款盗号木马
(再也不排版了,前3次排版,用了3个以上的分割线结果,内容全部被清除了)
在没有安装游戏的电脑:
C:\WINDOWS\system32\dllcache\dsound.dll文件以及C:\WINDOWS\system32\dsound.dll文件大小由359kb增加到361kb
在安装指定游戏的电脑:
游戏目录下面多出了一个dsound.dll(已被感染),多出一个msvcp80.org(盗号主体)
未安装指定游戏后的文件系统变化:
感染后在Temp木有会有一个kb****.nvv文件,
在C:\ProgramFiles\Common Files\System有一个kv****.nvv文件,
在C:\WINDOWS\system32会有一个dsound.dll.OLWU,
在C:\WINDOWS\system32\dllcache有一个dsound.dll.OLWU,
C:\WINDOWS\system32\dllcache\dsound.dll文件以及C:\WINDOWS\system32\dsound.dll文件大小由359kb增加到361kb,
Temp目录生成一个tempVidio.bat文件。
安装指定游戏后的文件系统变化:
感染后在Temp木有会有一个kb****.nvv文件
在C:\WINDOWS\system32会有一个dsound.dll.dat
感染C:\WINDOWS\system32\dsound.dll.dat
将感染后的dsound.dll.dat拷贝到游戏目录下面并改名为dsound.dll
将kb****.dll以文件名mscvp80.org拷贝到游戏目录并设置系统隐藏属性
1. 首先动态获取提权API进行提权操作,然后遍历进程,查看是否有AutoPatch.exe以及soul.exe进程
2. 获取Temp目录,以资源的方式在目录下面释放一个文件(文件命名通过开机到现在的时间得到一个kb****.nvv的文件)
3. 打开释放在temp文件下面的kb*****.nvv向文件写入340字节数据(加密后的收信地址)
4. 查询注册表是否拥有soul键值
5. 将temp目录下面的kv****.nvv文件拷贝到C:\Program Files\CommonFiles\System,然后设置属性为隐藏
6. 打开C:\Windows\system32\dsound.dll做操作,在当前目录拷贝一份名字为dsound.dll.dat,查看是不是有texc区段,没有就增加这个区段(这里程序为了避免系统发出文件丢失的警告,同时修改了C:\Windows\system32\dsound.dll与C:\WINDOWS\system32\dllcache\dsound.dll)并且在这两个目录下面还有dsound.dll.OLWU备份
7. 在Temp目录下面生成一个批处理文件(tempVidio.bat),达到自删除的效果,运行批处理文件,然后结束进程。
1 重启电脑
2 F8进入安全模式
3 删除C:\WINDOWS\system32与C:\WINDOWS\system32\dllcache\下面的dsound.dll与dsound.dll.OLWU,从干净的系统中拷贝一份dsound.dll在这两个目录下面。
4 删除Temp目录下面的kv00000000.nvv,删除C:\ProgramFiles\Common Files\System\kv00000000.nvv
5 删除游戏文件目录下面的dsound.dll与msvcp80.org文件
猴岛技术组
[ 此帖被杭城电竞乙熊丶在2014-11-19 13:10重新编辑 ]
