带毒GE原帖地址:
http://bbs.houdao.com/r1509943/ 请大家不要继续下载,下面开始做详细分析(包括释放木马以及工作原理)
我不是针对某人,只是给大家提个醒而已。
我的小号没有密保卡,用了这个外挂。不过还算盗号的有良心吧,还给留下一把武器。
所以我开始分析他的木马(不是邮件发送就是ASP收信)
刚你打开那个带毒GE的时候,你已经中毒了。庆幸的是,他的毒不过瑞星。
中毒以后,会在C:\Documents and Settings\你的用户名\Local Settings\Temp目录下
生成一个exe文件和一个dll文件
如图:
gamepatch.dll这个文件的2个作用是:
1----大家都知道,在我们地下城与勇士的目录里面有两个ini文件存放着最后登录的用户和大区数据
这样,之需要一个简单的键盘记录钩子来记录你输入密码的数据就可以了(一半用户名咱都不用输)
2----大家在第一图看到dnf.ini这个文件没?这个文件是由gamepatch.dll读取数据以后生成的
DNFupdate.exe这个文件的作用是:
1----查找DNF的进程路径,以便找到上面提及的2个ini文件
2----将dnf.ini文件里面的数据发送到指定地点
下面看看gamepatch.dll里面的关键内容,如图:
分析的已经够详细了。
如果说还需要说什么的话,只有2句话可说了:
1---我感谢你给我留下我的武器。
2---你最起码定位一下特征码在传播?MYCCL这么简单的工具就行,难道不会用?
如果真的不会用,我劝你还是早点停止你的霸业吧。。。。。。
本帖不针对那个版主,工具可能不是他的,他只是转来给咱用。
希望大家以后注意。
