網遊搜刮器114688

病毒名稱(中文):

網遊搜刮器114688病毒別名:

威脅級別:

★★☆☆☆病毒類型:

偷密碼的木馬病毒長度:

1.木馬運行以後在系統盤下的\WINDOWS\system32\目錄創建四個檔案:addrdhhelp.cfg,addrdhhelp.dll,mseam.sys,qdshm.dll

然後刪除木馬本身，其中qdshm.dll就是木馬本身，mseam.sys驅動來實現木馬的啟動和自保護，addrdhhelp.cfg是配置檔案,addrdhhelp.dll實現盜號信息的傳送.

傳送網址

2.病毒DLL運行後，首先判斷調用該DLL模組的檔案名稱是否是svchost.exe和alg.exe，如果是表明已經被感染；

3.如果還未感染，則遍歷進程，尋找sqmapi32.dll，找到該進程，則提升許可權，開闢空間，創建遠程執行緒，即建立與遠程聯繫

的後門。

4.裝載qdshm.dll資源，創建進程將木馬程式嵌入到服務提供者的DLL檔案中。

5.利用WSPStartup模組，啟動系統網路服務，同時木馬每次隨著系統啟動，自動跑起來。

6.該木馬。

7.該木馬使用了基於SPI的DLL木馬技術來進行木馬進程的隱藏。主要實現是利用在每個作業系統中都有系統網路服務。

它們是在系統啟動時自動載入，而且很多是基於IP協定的。病毒作者寫了一個IP協定的傳輸服務提供者，並安裝在服務提供者資料庫的最前端，系統網路服務就會載入木馬的服務提供者。再將木馬程式嵌入到服務提供者的DLL檔案中，在啟動系統網路服務時木馬程式也會被啟動。

這種木馬的特點是只需安裝一次，而後就會被自動載入到執行檔的進程中，還有一個特點就是它會被多個網路服務載入。通常在系統關閉時，系統網路服務才會結束，所以木馬程式同樣可以在系統運行時保持激活狀態。

在傳輸服務提供者中，有30個SPI函式是以分配表的形式存在的。在Ws2_32.dll中的大多數函式都有與之對應的傳輸服務提供者函式。如WSPRecv和WSPSend，它們在Ws2_32.dll中的對應函式是WSARecv和WSASend。病毒作者編寫了一個基於IP協定的服務

提供者並安裝於系統之中，當系統重啟時它被svchost.exe程式載入了，而且svchost.exe在135/TCP監聽。在傳輸服務提供者中，重新編寫了WSPRecv函式，對接收到的數據進行分析，如果其中含有客戶端傳送過來的暗號，就執行相應的命令獲得期望的動作，之後可以調用WSPSend函式將結果傳送到客戶端，這樣不僅隱藏了進程，而且還重用了已有的連線埠。