腐敗之盜

腐敗之盜,一種已經消除威脅的盜號木馬病毒。

基本介紹

  • 中文名:腐敗之盜
  • 威脅級別:★★☆☆☆
  • 定義:一種偷密碼的木馬病毒
  • 病毒簡介:Win32.Troj.OnlineGames.fb
  • 病毒長度:61520
  • 病毒行為:該木馬能夠盜取多款網路遊戲帳號
病毒簡介,病毒類型,病毒行為,

病毒簡介

Win32.Troj.OnlineGames.fb
病毒名稱(中文):腐敗之盜
威脅級別:★★☆☆☆

病毒類型

偷密碼的木馬病毒長度:
61520影響系統:
Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為

這是一個盜號木馬釋放的DLL檔案,該木馬能夠盜取多款網路遊戲帳號。使用了基於SPI的DLL木馬技術來進行木馬進程的隱藏。
1.病毒DLL運行後,首先判斷調用該DLL模組的檔案名稱是否是svchost.exe和alg.exe,如果是表明已經被感染;
2.如果還未感染,則遍歷進程,尋找sqmapi32.dll,找到該進程,則提升許可權,開闢空間,創建遠程執行緒,即建立與遠程聯繫
的後門。
3.裝載qdshm.dll資源,創建進程將木馬程式嵌入到服務提供者的DLL檔案中。
4.利用WSPStartup模組,啟動系統網路服務,同時木馬每次隨著系統啟動,自動跑起來。
5.該木馬主要危害是盜號。
6.該木馬使用了基於SPI的DLL木馬技術來進行木馬進程的隱藏。主要實現是利用在每個作業系統中都有系統網路服務,
它們是在系統啟動時自動載入,而且很多是基於IP協定的。病毒作者寫了一個IP協定的傳輸服務提供者,並安裝在服務提供者資料庫的最前端,系統網路服務就會載入木馬的服務提供者。再將木馬程式嵌入到服務提供者的DLL檔案中,在啟動系統網路服務時木馬程式也會被啟動。這種木馬的特點是只需安裝一次,而後就會被自動載入到執行檔的進程中,還有一個特點就是它會被多個網路服務載入。通常在系統關閉時,系統網路服務才會結束,所以木馬程式同樣可以在系統運行時保持激活狀態。
在傳輸服務提供者中,有30個SPI函式是以分配表的形式存在的。在Ws2_32.dll中的大多數函式都有與之對應的傳輸服務提供者函式。如WSPRecv和WSPSend,它們在Ws2_32.dll中的對應函式是WSARecv和WSASend。病毒作者編寫了一個基於IP協定的服務
提供者並安裝於系統之中,當系統重啟時它被svchost.exe程式載入了,而且svchost.exe在135/TCP監聽。在傳輸服務提供者中,重新編寫了WSPRecv函式,對接收到的數據進行分析,如果其中含有客戶端傳送過來的暗號,就執行相應的命令獲得期望的動作,之後可以調用WSPSend函式將結果傳送到客戶端,這樣不僅隱藏了進程,而且還重用了已有的連線埠。

相關詞條

熱門詞條

聯絡我們