技術解析「熱血江湖偽裝登錄器」盜號木馬

【賽迪網-IT技術報道】Win32.PSWTroj.OnLineGames.ni.458752是一個會盜竊網絡遊戲《熱血江湖》賬號的木馬程序。它運行後會替換掉網游《熱血江湖》的啟動文件，讓用戶通過病毒偽裝的啟動文件進入遊戲。

病毒名稱(中文)：熱血江湖偽裝登錄器458752

威脅級別：★☆☆☆☆

病毒類型：偷密碼的木馬

病毒長度：458752

影響系統：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為：

這是一個會盜竊網絡遊戲《熱血江湖》賬號的木馬程序。它運行後會替換掉網游《熱血江湖》的啟動文件，讓用戶通過病毒偽裝的啟動文件進入遊戲，從而盜取系統上的賬號信息，並發送給木馬作者。

1.程序運行後，生成文件

%windows%/BO.exe%System32%/terple.sys%System32%/sperls.dll

2.在註冊表中添加了註冊項，如下：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"QQ項名"="%Windows%/BO.exe"

3.木馬會自動刪除原文件本身。

4.木馬會通過創建"_B"和"DHY"等互斥量，防止木馬重複感染，木馬會把dll文件注入explorer.exe，Client.exe進程中，安裝全局鉤子。

5.遍歷硬碟，查找 "yb_sync.dll"和"yb_mem.dll" 兩個文件的所在路徑。(熱血江湖遊戲文件)

把遊戲目錄下的程序 launcher.exe 重命名為 launchar.exe，並設置 launchar.exe 的文件屬性為"系統"和"隱藏"。將病毒文件 BO.exe 複製到遊戲目錄下，重命名為 launcher.exe。用戶啟動遊戲時會運行病毒，查找窗口名為"YB_OnlineClient"的窗口，通過讀取該遊戲進程的記憶體方式盜取網游熱血江湖的賬號信息並發送至木馬作者指定的接收網址。

(