梅州信息港

当前位置: 首页 >金融

酷狮子系列盗号木马完美解析

来源: 作者: 2019-04-11 08:00:34

该系列木马的各个变种行为基本一直,有一个EXE文件,并且能释放DLL文件顶锤钻机

样本加载过程:

先把自己复制到Windows目录,并释放DLL到Windows目录下天目琼花供应
。接下来检查当前运行的目录是Windows,游还是其他。当前目录是游的情况,会先运行游客户端,然后运行刚才复制到Window目录下的程序。当前目录是Windows的情况会加载DLL部分土狗图片
,然后处于等待状态。DLL成功盗号后,盗号EXE结束执行。

如果当前目录不在上述情况中,盗号木马将会查找目标游的目录,并执行下面操作:

WOW

E改名为 E,将E设置为隐藏属性和系统文件属性

盗号木马改名为E。

热血江湖:

e改名为e,将e设置为隐藏属性和系统文件属性

盗号木马改名为e.

完美世界、武林外传和诛仙用的相同客户端:

e改名为e,将e设置为隐藏属性和系统文件属性

盗号木马改名为e.

注:没有任何文件保护功能,假如游需要更新客户端程序,该盗号木马将被清除。

盗号部分:

在固定偏移读取游戏关键内存数据,通过破解内存中的信息取得用户信息。由于是固定偏移,游戏程序的版本改动都可能导致盗号失败。

正如前述,该系列木马是为个人“定做”的,用于接收盗号信息的址都是不同的,但是参数是相同的。具体格式如下:

User= 用户名 pass = 密码 ser = 服务器名_络连接 cangku =仓库密码 beizhu = 备注 rw = 等级 pcname = 计算机名

在诛仙盗号中发现的“cctvtvtvtvtD”(CCTV的粉丝?)

在完美世界盗号中发现的“真情告白”:

“ZHUZHUHENKEAI”

“ZHUZHUSHITOUZHU”

“WOLAOPOSHIDABENZHUHAHA”

在另外一个完美世界盗号中发现:

“QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”(“全体客户”是指用户?)

相关推荐