魔兽游戏"木马的密码发送方式
分析并清除大陆魔兽木马病毒
如果您的系统不小心感染了某款木马病毒,且不幸的是游戏账号密码或QQ密码已经被他人盗取。那么,在找出病毒的同时,如何从病毒中找到“种马者”的“联系信息”呢?如果运气好的话,不仅可以找回丢失的东西,更可以将这些信息交给网络警察作为举证!
测试对象与目的
测试对象
- 大陆魔兽木马生成器
测试目的
- 跟踪分析所生成的木马的感染系统过程及密码发送方式
测试说明
我以测试为目的利用“木马生成器”生成一个木马程序,邮箱及密码是虚拟的!目的是通过跟踪找出木马内部的有效信息。
病毒行为分析
激活后的文件生成
病毒激活后,会生成以下两个文件:
svchsot.exe:与正常程序svchost.exe相似但不同。locarxjh.sls:DLL文件。
前者采用加壳技术,使用PEID侦察会导致内存访问异常错误而无法探测。建议使用OD(OllyDbg)进行手工脱壳。
注册表写入
病毒首先将自己复制到 %systemRoot%\system32 目录下并命名为 svchsot.exe,然后多次写入注册表项以实现启动时自动加载,例如:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKEY_USERS\S-1-5-21-515967899-162531612-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\LoadHKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
关键代码片段
以下是部分关键代码片段:
复制自身到系统目录
"load"="D:\\WINDOWS\\System32\\svchsot.exe"
push esi
push 104
push eax
call dword ptr ds:[<&KERNEL32.GetSystemDirectoryA>]
lea ecx,dword ptr ss:[esp+8]
push locarxjh.1000C1CC ; ASCII "\svchsot.exe"
push ecx
call dword ptr ds:[<&KERNEL32.lstrcatA>]
写入注册表
push 104
push esi
push 1
push 0
push locarxjh.1000C194 ; ASCII "foxwow"
push ecx
call dword ptr ds:[<&ADVAPI32.RegSetValueExA>]
加载DLL文件
push svchsot.004255C4 ; ASCII "D:\WINDOWS\System32\locarxjh.sls"
call dword ptr ds:[4282BC] ; kernel32.LoadLibraryA
创建新线程准备发送数据
mov esi,dword ptr ds:[<&KERNEL32.CreateThread>]
push eax
push eax
call esi ; kernel32.CreateThread
发送密码的邮箱信息
在 locarxjh.sls 中导出表中含有 "新魔兽.dll",其Function Name为 insthook。在 svchsot.exe 中必有调用其功能的过程。
以下是部分涉及邮箱信息的代码片段:
mov eax,locarxjh.1000F258 ; ASCII "测试@163.com" ; 这就是用来传递密码的邮箱...
SMTP服务器信息
mov ecx,locarxjh.1000F114 ; ASCII "Smtp.163.com"
用户名和密码
mov dword ptr ss:[esp+24],locarxjh.1000F218 ; ASCII "用户名"
mov dword ptr ss:[esp+28],locarxjh.1000F238 ; ASCII "测试密码"
清除木马
使用杀毒软件
可以使用您的杀毒软件进行全盘清除。清除病毒体后,系统启动时可能会提示载入该病毒无法加载的问题,实际上是在 Load 处没有清除这些值。
手动清除注册表项
进入上述提示的注册表键值并手动删除即可。
通过以上步骤,您可以有效地分析并清除此类木马病毒,同时获取到“种马者”的联系信息,以便进一步采取法律行动。