发现新的盗号木马,该木马专偷龙与地下城勇士。
病毒会写入文件到windows\system32中(以此判断,该 病毒无法危及vista系统和windows7系统),然后会修改注册表中 输入法的调用项。导致用户按ctrl+空格或ctrl+shift切换输入法时,可能发现输入法无法被调出。因为此时调用的会是盗号木马,而盗号木马是懒 得帮用户做个输入法功能的,木马只需要得到一次启动的机会。而用户会认为这个输入法不好用了,然后换一种新的输入法,但此时盗号木马已经运行。
据毒霸引擎组病毒分析员称,这种利用输入法劫持,而不是破坏输入法程序的特殊加载方式在黑客论坛曾经YY了很久,现终于将其投入正式使用。
以下是该病毒的详细分析:
1、病毒行为:
(1)、写文件:
C:\WINDOWS\system32\mrdxsdk32.dll
C:\WINDOWS\system32\MRPinyin.ime
(2)、写注册表
HKLM\System\CurrentControlSet\Control\Keyboard Layouts\E0200804
HKLM\System\CurrentControlSet\Control\Keyboard Layouts\E0200804\Ime File SUCCESS "MRPINYIN.IME"
HKLM\System\CurrentControlSet\Control\Keyboard Layouts\E0200804\Layout Text SUCCESS "英文(英文)"
HKLM\System\CurrentControlSet\Control\Keyboard Layouts\E0200804\Layout File SUCCESS "kbdus.dll"
2、主程序功能:
(1)、查找类:MR_DXCONLINECLASS,标题:MR_DXCONLINETITLE做互斥。
(2)、释放资源。
(3)、自删除。
3、mrdxsdk32.dll功能:
(1)、检查是否explorer.exe进程,是则检测MR_DXCONLINECLASS窗口,有则退出,没有则创建,然后安装ime并添加注册表信息启动项,进入窗口的消息循环。
(2)、检查是否qqlogin.exe或dnf.exe进程,不是就退出,是则盗号发信。
(3)、读取游戏进程0x464646地址数据,获取TenQQAccount.dll模块。
(4)、导出szjectsend函数,安装ime的功能函数。
4、MRPinyin.ime功能:
(1)、注册DLLISUI窗口类做互斥。
(2)、尝试加载mrdxsdk32.dll,mronsl32.dll,mrsmgl32.dll,mrdmril32.dll,mrhkls32.dll,mrmiohl32.dll文件,并获取RunDllHostCallBack函数运行。
5、盗号主要使用inlinehook方法hook指定地址(从分析中地址不明,病毒会在游戏中做3个inlinehook),猜想应该是游戏必会调用的地址,主要功能是拦截密码和发信。
在此说明不是我阻止你们用挂.是我已经被洗3个号然后检查系统的时候才发现的.开始我以为我的输入法出问题切不出来,后来想想才发觉.
