Trojan/PSW.LMir.an“武汉男生”木马的最新变种Trojan/QQMsg.WhBoy.bb,偷取传奇游戏密码,并可以通过QQ聊天软件散播病毒网址。与其以前众多变种不同的是,这次“武汉男生”采取了全新的线程插入技术,可以更好的隐藏自身,躲避常用的病毒检测方法,加大了查杀难度。
Trojan/PSW.LMir.an“武汉男生”木马的最新变种Trojan/QQMsg.WhBoy.bb,偷取传奇游戏密码,并可以通过QQ聊天软件散播病毒网址。与其以前众多变种不同的是,这次“武汉男生”采取了全新的线程插入技术,可以更好的隐藏自身,躲避常用的病毒检测方法,加大了查杀难度。
具体技术特征如下:
1.病毒运行后,将在用户计算机中创建以下3个文件:
%SystemDir%winscok.exe,124416字节,病毒本身
%SystemDir%install.dll,29696字节,安装模块
%SystemDir%winscok.dll,59904字节,功能模块
2.在注册表的HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRunonce中创建:“windows”=“%SystemDir%winscok.exe”这样,病毒在系统启动时即可运行。
3.winscok.exe运行后,会调用install.dll,设置2个系统挂钩函数。用户只需在资源管理器中点击了鼠标左键,挂钩函数即被激活,以EXPLORER.EXE的身份调用winscok.dll。而病毒主程序winscok.exe此时结束运行。
4.winsock.dll被调用后,开启4个计时器,分别完成下面的事情:
每隔30秒,通过QQ聊天软件向用户的好友发送包含病毒网址的消息,可能发送的不同消息共有8条;
每隔0.3秒,通过搜索传奇客户端窗口,尝试获取游戏账号的密码和装备信息;
每隔1.5秒,通过直接读取传奇程序内存的方法,获取账号信息;
每隔15秒,把盗取的用户信息发送给特定的邮箱。
温馨提示:
