腐敗之盜

Win32.Troj.OnlineGames.fb

病毒名稱(中文):腐敗之盜

威脅級別:★★☆☆☆

偷密碼的木馬病毒長度:

61520影響系統:

Win9x WinMe WinNT Win2000 WinXP Win2003

這是一個盜號木馬釋放的DLL檔案，該木馬能夠盜取多款網路遊戲帳號。使用了基於SPI的DLL木馬技術來進行木馬進程的隱藏。

1.病毒DLL運行後，首先判斷調用該DLL模組的檔案名稱是否是svchost.exe和alg.exe，如果是表明已經被感染；

2.如果還未感染，則遍歷進程，尋找sqmapi32.dll，找到該進程，則提升許可權，開闢空間，創建遠程執行緒，即建立與遠程聯繫

的後門。

3.裝載qdshm.dll資源，創建進程將木馬程式嵌入到服務提供者的DLL檔案中。

4.利用WSPStartup模組，啟動系統網路服務，同時木馬每次隨著系統啟動，自動跑起來。

5.該木馬主要危害是盜號。

6.該木馬使用了基於SPI的DLL木馬技術來進行木馬進程的隱藏。主要實現是利用在每個作業系統中都有系統網路服務，

它們是在系統啟動時自動載入，而且很多是基於IP協定的。病毒作者寫了一個IP協定的傳輸服務提供者，並安裝在服務提供者資料庫的最前端，系統網路服務就會載入木馬的服務提供者。再將木馬程式嵌入到服務提供者的DLL檔案中，在啟動系統網路服務時木馬程式也會被啟動。這種木馬的特點是只需安裝一次，而後就會被自動載入到執行檔的進程中，還有一個特點就是它會被多個網路服務載入。通常在系統關閉時，系統網路服務才會結束，所以木馬程式同樣可以在系統運行時保持激活狀態。

在傳輸服務提供者中，有30個SPI函式是以分配表的形式存在的。在Ws2_32.dll中的大多數函式都有與之對應的傳輸服務提供者函式。如WSPRecv和WSPSend，它們在Ws2_32.dll中的對應函式是WSARecv和WSASend。病毒作者編寫了一個基於IP協定的服務

提供者並安裝於系統之中，當系統重啟時它被svchost.exe程式載入了，而且svchost.exe在135/TCP監聽。在傳輸服務提供者中，重新編寫了WSPRecv函式，對接收到的數據進行分析，如果其中含有客戶端傳送過來的暗號，就執行相應的命令獲得期望的動作，之後可以調用WSPSend函式將結果傳送到客戶端，這樣不僅隱藏了進程，而且還重用了已有的連線埠。