“酷狮子”系列木马的各个变种行为基本一直,有一个EXE文件,并且能释放DLL文件。
“酷狮子”木马样本加载过程:
“酷狮子”木马先把自己复制到Windows目录,并释放DLL到Windows目录下。接下来检查当前运行的目录是Windows,网游还是其他。当前目录是网游的情况,会先运行网游客户端,然后运行刚才复制到Window目录下的程序。当前目录是Windows的情况会加载DLL部分,然后处于等待状态。DLL成功盗号后,盗号EXE结束执行。
如果当前目录不在上述情况中,盗号木马将会查找目标网游的目录,并执行下面操作:
WOW:WOW.EXE改名为 W0W.EXE,将W0W.EXE设置为隐藏属性和系统文件属性;盗号木马改名为WOW.EXE。
热血江湖:auncher.exe改名为launchar.exe,将launchar.exe设置为隐藏属性和系统文件属性;盗号木马改名为auncher.exe。
完美世界、武林外传和诛仙用的相同客户端:elementclient.exe改名为elemontclient.exe,将elemontclient.exe设置为隐藏属性和系统文件属性;盗号木马改名为elementclient.exe。
注:没有任何文件保护功能,假如网游需要更新客户端程序,该盗号木马将被清除。
盗号部分:
在固定偏移读取游戏关键内存数据,通过破解内存中的信息取得用户信息。由于是固定偏移,游戏程序的版本改动都可能导致盗号失败。
正如前述,该系列木马是为个人“定做”的,用于接收盗号信息的网址都是不同的,但是参数是相同的。具体格式如下:
User= 用户名&pass = 密码& ser = 服务器名_网络连接 &cangku =仓库密码
&beizhu = 备注&rw = 等级 &pcname = 计算机名
在诛仙盗号中发现的“cctvtvtvtvtD”(CCTV的粉丝?)
在完美世界盗号中发现的“真情告白”:
“ZHUZHUHENKEAI”
“ZHUZHUSHITOUZHU”
“WOLAOPOSHIDABENZHUHAHA”
在另外一个完美世界盗号中发现:
“QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”(“全体客户”是指用户?)