Win32.PSWTroj.OnlineGames.114688

Win32.PSWTroj.OnlineGames.114688的中文名稱為網遊搜刮器114688,是一種盜號木馬病毒

基本介紹

  • 外文名:Win32.PSWTroj.OnlineGames.114688
  • 威脅級別:★★☆☆☆
  • 病毒類型:偷密碼的木馬
  • 病毒長度:114688
影響系統,病毒行為,

影響系統

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為

這是一個針對目標極多的盜號者木馬。該木馬會被多個網路服務所載入,能夠盜取《征途》、《大話西遊》、《風雲》、《魔域》、《問道》、《誅仙》、《傳奇》等幾乎所有知名網路遊戲的帳號。該木馬使用了基於SPI的DLL
木馬技術來進行木馬進程的隱藏,同時利用驅動來啟動和保護自身。
1.木馬運行以後在系統盤下的\WINDOWS\system32\目錄創建四個檔案:addrdhhelp.cfg,addrdhhelp.dll,mseam.sys,qdshm.dll
然後刪除木馬本身,其中qdshm.dll就是木馬本身,mseam.sys驅動來實現木馬的啟動和自保護,addrdhhelp.cfg是配置檔案,addrdhhelp.dll實現盜號信息的傳送.
2.病毒DLL運行後,首先判斷調用該DLL模組的檔案名稱是否是svchost.exe和alg.exe,如果是表明已經被感染;
3.如果還未感染,則遍歷進程,尋找sqmapi32.dll,找到該進程,則提升許可權,開闢空間,創建遠程執行緒,即建立與遠程聯繫
後門
4.裝載qdshm.dll資源,創建進程將木馬程式嵌入到服務提供者的DLL檔案中。
5.利用WSPStartup模組,啟動系統網路服務,同時木馬每次隨著系統啟動,自動跑起來。
6.該木馬主要危害是盜號。
7.該木馬使用了基於SPI的DLL木馬技術來進行木馬進程的隱藏。主要實現是利用在每個作業系統中都有系統網路服務,
它們是在系統啟動時自動載入,而且很多是基於IP協定的。病毒作者寫了一個IP協定的傳輸服務提供者,並安裝在服務提供者資料庫的最前端,系統網路服務就會載入木馬的服務提供者。再將木馬程式嵌入到服務提供者的DLL檔案中,在啟動系統網路服務時木馬程式也會被啟動。
這種木馬的特點是只需安裝一次,而後就會被自動載入到執行檔的進程中,還有一個特點就是它會被多個網路服務載入。通常在系統關閉時,系統網路服務才會結束,所以木馬程式同樣可以在系統運行時保持激活狀態。
在傳輸服務提供者中,有30個SPI函式是以分配表的形式存在的。在Ws2_32.dll中的大多數函式都有與之對應的傳輸服務提供者函式。如WSPRecv和WSPSend,它們在Ws2_32.dll中的對應函式是WSARecv和WSASend。病毒作者編寫了一個基於IP協定的服務
提供者並安裝於系統之中,當系統重啟時它被svchost.exe程式載入了,而且svchost.exe在135/TCP監聽。在傳輸服務提供者中,重新編寫了WSPRecv函式,對接收到的數據進行分析,如果其中含有客戶端傳送過來的暗號,就執行相應的命令獲得期望的動作,之後可以調用WSPSend函式將結果傳送到客戶端,這樣不僅隱藏了進程,而且還重用了已有的連線埠。

相關詞條

熱門詞條

聯絡我們