“酷狮子”系列木马的各个变种行为基本一直,有一个EXE文件,并且能释放DLL文件 。
“酷狮子”木马样本加载过程:
“酷狮子”木马先把自己复制到Windows目录,并释放DLL到Windows目录下 。接下来检查当前运行的目录是Windows,网游还是其他 。当前目录是网游的情况,会先运行网游客户端,然后运行刚才复制到Window目录下的程序 。当前目录是Windows的情况会加载DLL部分,然后处于等待状态 。DLL成功盗号后,盗号EXE结束执行 。
如果当前目录不在上述情况中,盗号木马将会查找目标网游的目录,并执行下面操作:
WOW:WOW.EXE改名为 W0W.EXE,将W0W.EXE设置为隐藏属性和系统文件属性;盗号木马改名为WOW.EXE 。
热血江湖:auncher.exe改名为launchar.exe,将launchar.exe设置为隐藏属性和系统文件属性;盗号木马改名为auncher.exe 。
完美世界、武林外传和诛仙用的相同客户端:elementclient.exe改名为elemontclient.exe,将elemontclient.exe设置为隐藏属性和系统文件属性;盗号木马改名为elementclient.exe 。
注:没有任何文件保护功能,假如网游需要更新客户端程序,该盗号木马将被清除 。
盗号部分:
在固定偏移读取游戏关键内存数据,通过破解内存中的信息取得用户信息 。由于是固定偏移,游戏程序的版本改动都可能导致盗号失败 。
正如前述,该系列木马是为个人“定做”的,用于接收盗号信息的网址都是不同的,但是参数是相同的 。具体格式如下:
User= 用户名&pass = 密码& ser = 服务器名_网络连接 &cangku =仓库密码
&beizhu = 备注&rw = 等级 &pcname = 计算机名
在诛仙盗号中发现的“cctvtvtvtvtD”(CCTV的粉丝?)
在完美世界盗号中发现的“真情告白”:
“ZHUZHUHENKEAI”
“ZHUZHUSHITOUZHU”
“WOLAOPOSHIDABENZHUHAHA”
【“酷狮子”系列盗号木马病毒原理分析】在另外一个完美世界盗号中发现:
“QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”(“全体客户”是指用户?)
推荐阅读
- 竹马指什么含义 青梅竹马的意思内涵解释
- 笃行之的前四句是什么 笃行之前面几句
- 我们犯了错误要让别人指出来改为双重否定句我们犯了错误要让别人指出来改为双重否定句是什么
- 夏播过后这样防控“幺蛾子”
- “对症下药”预防西瓜空心皮厚
- 甜瓜裂瓜需注意“对症下药”很关键
- 为i做e是什么意思什么梗 i人和e人是什么意思
- 数字的汉字写法 数字的汉字写法是什么
- 相机ev什么意思
- 记住这些“顺口溜” 快速识别常见病害