Trojan.PSW.OnlineGames木马群浅析

最新推荐文章于 2021-05-28 14:57:08 发布
最新推荐文章于 2021-05-28 14:57:08 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 病毒木马分析 Windows开发相关 文章标签: winform windows system 工作 杀毒软件 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coding_hello/article/details/1624607
版权

winform.exe & winform.dll

               winform.exe这个木马还带了一个winform.dll的动态库,该动态库导出2个函数:fa和fc。ok,一步一步来看看吧。

                winform.exe干的第一件事情是调用mixer系列函数设置静音~。这样一来,如果被Anti-Virus发现了,也没那么容易被察觉。嗯,赞细致~~

                接下来,开启一个线程。该线程是专门为杀毒软件准备的,呵呵~。其工作流程如下图:

                安抚了Anti-Virus以后,Winform才开始了自己的工作。
                首先检查自己是否在windows目录下。如果没有的话,将自己复制一份到windows/winform.exe,然后启动一个新进程:c:/windows/winform.exe @current_file_path@current_process_id,然后就可以退出了。新的进程会检查是否带了命令行启动。如果带了命令行,则根据命令行带的参数信息,强行关闭旧的进程,并且删除其不在windows目录中的本体文件,达到保护自己的目的。
                接下来,就是远程注入winform.dll的工作。首先遍历所有的进程,找到explorer.exe的进程id。如果找不到,则跳到最后的注册表操作。找到explorer.exe以后,winform.exe把自己内部含有的DLL类型资源释放到System32目录下,也就是winform.dll。然后就是一段中规中矩的远程线程注入的处理。最后启动远程线程,使其调用winform.dll中的fa函数,挂了个hook~
               最后,把声音恢复~
               呼呼~~困了~~下次再写winform.dll中的行为~~~
-----------------------------------------------------------------------------------------------------------------------------
               起床啦~~哈哈~~
               winform.dll看了一下,前面被注入到explorer.exe以后,调用了其fa函数,挂了个全局钩子(所以fc函数自然就是卸载钩子啦~ hiahia~~)。然后检查Attach到的新进程是不是my.exe或者gameclient.exe。好像一个是梦幻西游,一个是浩方战网。然后针对各自的信息起了线程作数据处理,没啥意思了。
              杀winform,只要把explore中的winform.dll卸载掉,然后删掉就行了,挺无聊的~
-----------------------------------------------------------------------------------------------------------------------------
wodsttorks.exe & wodsttorks.dll
             wodsttorks.exe和wodsttorks.dll木马的作者和winform.exe的作者显然是同一个人,所有的处理几乎一样,除了wodsttorks.dll中的业务有些差别。wodsttorks.dll处理三个游戏:soul.exe(魔域)、elementclient.exe(完美世界)和gameclient.exe(浩方战网)。
-----------------------------------------------------------------------------------------------------------------------------
wstrrs.exe & wstrrs.dll
             wsttrs.exe和wsttrs.dll跟wodsttorks功能完全一样,也是处理魔域,完美世界和浩方三个游戏。却别在于:wsttrs.exe加了壳。然后wsttrs.dll中有一段通过跟0x96简单异或加密的 url:http://www.lmhlve.com/my/lin.asp,而wodsttorks.dll中的则是 url:http://kikei.com/moyy/lin.asp。估计是干完活提交点数据回去~?呵呵~~
-----------------------------------------------------------------------------------------------------------------------------
upxmdnd.exe & upxmdnd.dll
           注入加载方式同上,区别只是这次是生成到temp目录里面(GetTempPath())。
           upxmdnd.dll处理如下几个程序:zhengtu.at(征途?),cabalmain.exe(惊天动地~?)和elementclient.exe(完美世界)。
-----------------------------------------------------------------------------------------------------------------------------
mppds.exe & mppds.dll
          注入方式同上,mppds.dll生成在System32目录里,处理wow.exe和elementclient.exe。
-----------------------------------------------------------------------------------------------------------------------------
还有几个其他的库~大致都差不多~~忙~懒得看了 
野男孩
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js.scob.trojan.nasl
11-08
js.scob.trojan
新型病毒向下载成人游戏的用户勒索赎金
为祖国健康工作50年
04-17 792
一种新型病毒正在使用一种令人吃惊的新策略让不幸被感染的用户寝食难安。这种名为 Kenzero的病毒是从日本传播出来的,目前仍处在传播的早期阶段。这种病毒的感染对象是拥有大约2亿用户的Winni文件共享服务的用户。 当Winni用户利用这个网站下载盗版的成人游戏的时候,他们的PC就会被 Kenzero病毒感染。这个病毒就会复制用户的网络浏览历史并且在网络上公开发表,让大众都可以看到。Kenzero...
遭遇Trojan.PSW.OnlineGames、Trojan.HiJack.a、Trojan.PSW.ZhuXian.b等
Purpleendurer@CSDN
06-08 7773
endurer 原创2007-06-08  第1版一位网友说他的电脑最近反应速度很慢,让偶通过QQ远程协助帮忙检修。先用msconfig检查,发现了一些可疑启劝项,把金山毒霸升级到最新后扫描系统,没有发现病毒。到 http://endurer.ys168.com 下载 HijackThis 和 瑞星杀毒助手 Aide4Rav。到 http://purpleendurer.ys168.c
抓获Backdoor.Gpigeon.voo和Trojan.PSW.OnlineGames.xd等盗号木马
Purpleendurer@CSDN
05-08 3041
endurer 原创2007-05-08 第1版一位朋友,说他的电脑最近运行很慢,让偶帮忙检修。下载 pe_xscan 扫描 log 并分析,发现如下可疑项:/---pe_xscan 07-04-12 by Purple Endurer2007-5-8 12:12:51Windows XP Service Pack 2(5.1.2600)管理员用户组[System Process] *
android sex games app,Beginning Android Games 2nd Edition
weixin_42504649的博客
05-28 1万+
摘要:Beginning Android Games, Second Edition offers everything you need to join the ranks of successful Android game developers, including Android tablet game app development considerations. You'll sta...
敲诈者(Trojan.Disclies.e)解决方案
03-04
敲诈者木马程序(Trojan.Disclies.e)是一种恶意软件,其主要目的是通过隐藏受感染计算机上的指定数据文件来敲诈用户钱财。这种类型的木马通常会在用户不知情的情况下潜入计算机系统,并执行一系列操作,导致用户的...
trojan-qt5.app.zip
04-06
标题 "trojan-qt5.app.zip" 暗示我们正在处理一个可能包含恶意软件的压缩文件,其中的“trojan”一词通常用于指代特洛伊木马病毒。特洛伊木马是一种伪装成合法软件的恶意程序,用户在不知情的情况下下载并执行时,它...
trojan-qt5.tar.gz
04-09
trojan-qt5 for linux
Trojan. Plastix解除工具plstfix
10-30
俄罗斯安全软件大蜘蛛Dr.Web,木马解锁工具.
新的Android Trojan使用PayPal的官方应用窃取资金
culunxun2863的博客
09-19 660
There have been some bad trojans found on Android, but this is possibly one of the worst. This new threat automates a PayPal transaction for $1000 and sends it using the official PayPal app—even on ac...
trojan病毒”
weixin_33963189的博客
04-23 1915
病毒名称:trojan病毒”(Trojan/PSW.GamePass/liveup/generic等) 病毒中文名:病毒***Trojan.DL.Infect.uu最近一段时间,许多朋友都中了这个病毒:trojan病毒。Trojan启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的***程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序...
Trojan/Android.GDownload.jw[exp,gen] 病毒报警解决方案
热门推荐
believer123的专栏
03-05 2万+
去年12月份开始,我的个人app记忆空间就被华为应用市场报病毒了,而且非常突然,之前都是好好的,突然报毒打得我猝不及防。 华为市场提供的信息如下: 你好,你的应用审核复测 应用经手机管家检测为风险软件,存在中等风险;无法上架; 是不是很坑,在使用华为手机进行验证才得知是病毒Trojan/Android.GDownload.jw[exp,gen], 看得我一脸懵逼,因为对病毒处理这块没有太多的...
杀毒,可恶的onLineGames
王程斯的专栏
01-24 750
昨天中毒,病毒名称是 onlinegames,专门窃取网游密码的木马,被这个病毒和卡巴斯基一起蹂躏了半天,终于找到方法手工杀毒成功中毒原因是昨天玩游戏时关了卡巴,后来忘了重新打开就上网去了,然后很不幸的中招,当时浏览器立刻就死在那里了,等了半天IE自动关闭,我才意识到出问题,赶紧打开卡巴,已经太晚了,系统立刻发出一阵阵经典的“杀猪声”,然后就告诉我必须重启系统才能删除病毒。无奈,重启后貌似风平浪静
木马病毒Trojan/PSW.OnLineGames.ucg手工清除办法
cheeloosoft的专栏
06-10 764
       最近下载一个软件时,中了木马病毒Trojan/PSW.OnLineGames.ucg。利用杀毒软件杀不掉,在安全模式下也杀不掉,那些文件也无法强制删除。经过尝试,找到了手工清除的办法。      1。清空INTERNET临时文件和COOKIE。      2。 运行regedit,进入注册表,将启动项里面不熟悉的启动项删除。     3。 运行MSCONFIG,将除cftmon之外的
最流行的10种Android恶意软件类别解释
ybdesire的专栏
02-10 6010
Android恶意软件的专业分类方法,比如GinMaster,Geinimi,你认识吗?
VC++6.0调试篇:定位临界区(critical section)导致的死锁
coding_hello的专栏
12-10 9522
         在多线程程序的开发中,因为效率的关系,通常会选用CriticalSection作为同步的机制。初学者在设计开发多线程程序时经常会出现死锁的情况,昨天就看到有个哥们在发帖问这个(明显是郁闷中阿)。这里通过一个例子说下不用Intel的Thread Checker,Thread Profiler,也不用强大的WinDbg,只是用土土的VC6自带的调试器如何来轻松的定位这种死锁问题。
VC++6.0调试篇:远程调试
coding_hello的专栏
11-23 8319
         VC开发环境之所以提供远程调试的能力,是因为有些情况下单机调试会让你崩溃掉。。。比如,调试GUI程序的WM_PAINT消息,因为要单步调试,所以调试器会对界面的重绘产生副作用(Heisenberg不确定性原理)。当然还有些别的情况也适用,比如程序在测试环境运行的好好的,但是在客户那行为总是异常,这时候如果可以TCP远程连接上去维护的话,就能通过远程调试的特性在出现状况的系统环境中
实战:结合Dr.Watson系统日志和Vc6来定位多线程环境下程序异常退出的错误
coding_hello的专栏
09-29 7545
    当开发的软件发布以后,在客户那运行时可能会因为各种原因导致程序退出。这种情况很尴尬,很明显我们无法在客户机器上装个Visual Studio调试,所以必须有机制来收集出错的信息。软件本身的运行日志能提供部分信息,但是可能还不够。Windows系统为此提供了解决方案:Dr.Watson工具。Dr.Watson也算是一个小巧的调试器,32位的版本名字是drwtsn32.exe。可用于当系统中有
Trojan.MPE
最新发布
02-22
Trojan.MPE是一种恶意软件,属于特洛伊木马Trojan)的一种。它是一种隐藏在看似正常程序或文件中的恶意代码,用于入侵和控制受感染计算机。Trojan.MPE通常通过电子邮件附件、下载不安全的软件或访问被感染的网站等方式传播。 一旦Trojan.MPE感染了计算机,它可以执行各种恶意活动,包括但不限于以下几点: 1. 窃取个人敏感信息:Trojan.MPE可以记录键盘输入、窃取登录凭据、访问存储的个人信息等。 2. 远程控制:攻击者可以通过Trojan.MPE远程控制受感染计算机,执行各种操作,如文件删除、文件上传、远程监视等。 3. 启动其他恶意软件:Trojan.MPE可以下载和安装其他恶意软件,如勒索软件、广告软件等。 4. 破坏系统功能:Trojan.MPE可能会破坏系统文件、禁用防火墙、关闭安全软件等,以便更好地隐藏自身并继续进行恶意活动。 为了保护计算机免受Trojan.MPE的威胁,建议采取以下措施: 1. 安装可靠的安全软件,并及时更新病毒库。 2. 不要打开来自不信任来源的电子邮件附件。 3. 避免下载和安装来自不可信任的网站或来源的软件。 4. 定期备份重要文件,以防止数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值