中文名: 橘子蛀虫
病毒类型: 偷密码的木马
病毒长度: 119808
影响系统:
Win9x,WinMe,Linux
简介:
病毒运行后首先解密自身数据与代码,然后释放到%Windir% t.exe中执行,病毒导入表中只有LoadLibraryA,GetProcAddress,ExitThread三个函数,其他所调用的所有Api都
行为分析:
这是个针对《游戏橘子》的网游盗号木马。它具有对抗安全软件的能力,并且数据经过加密处理,试图干扰反病毒工作人员的查杀。
描述:
病毒运行后首先解密自身数据与代码,然后释放到%Windir% t.exe中执行,病毒导入表中只有LoadLibraryA,GetProcAddress,ExitThread三个函数,其他所调用的所有Api都是通过LoadLibraryA,GetProcAddress或者查找Dll文件导出表的方式获取的。
执行tt.exe之后,病毒会再次将自身复制到%sys32dir% avo.exe中,并释放%sys32dir% avo0.dll
病毒会检查系统中是否存在AVP.exe,如果存在的话,会修改AVPsys服务,修改ImagePath为指向病毒文件,用病毒文件覆写
%sys32dir%dllcachecdaudio.sys
%sys32dir%driverscdaudio.sys
%sys32dir%driversklif.sys
添加注册表Run启动项:
SOFTWAREMicrosoftWindowsCurrentVersionRun
指向 %sys32dir% avo.exe
病毒会监视IEFrame窗口,当检查到主机浏览的网页是下列地址时,盗取用户的游戏帐号
https://tw.goodlock.gamania.com/index.aspx
https://tw.gash.gamania.com/GASHLogin.aspx
https://tw.gash.gamania.com/UpdateMainAccountPassword.aspx
https://tw.gash.gamania.com/UpdateServiceAccountPassword.aspx?ServiceCode=
https://tw.event.gamania.com/LineageEvent/CachetSMS/SMS_1.asp
https://tw.event.gamania.com/LineageEvent/CachetSMS/SMS_3.asp
