taong

“天龙八部木马变种JKG”病毒摘要
危险等级：★★★
病毒名称：Trojan.PSW.Win32.TLOnline.jkg
截获时间：2007-11-27
入库版本：20.20.12
类型：盗号木马

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

清除难度：低

破坏力：低

破坏手段：窃取网络游戏《天龙八部》用户密码

    病毒运行后首先会找到System32路径下的kernel32.dll并试图删除该动态库，如果删除成功则退出。

    如果没有成功则每隔15遍历进程查找进程中是否存在卡巴斯基反病毒软件进程avp.exe，如果存在则把当前系统时间的年份改为2007，试图使该软件失效。

    然后在System32路径下释放两个动态库文件qdshm.dll和addrtlhelp.dll。

    然后遍历进程查找进程中是否有游戏进程Game.exe，如果存在则结束该进程，当用户再次启动游戏进程时把动态库通过远程线程注到游戏进程中；如果不存在则调用LoadLibrary 函数把动态库加载起来。

    最后病毒运行完后会把自己删除。

    qdshm.dll用来加载其他动态库：

    动态库被加载起来后首先会找到System32路径下的kernel32.dll并试图删除该动态库，如果删除成功则退出。

    如果没有成功则根据自己所在进程进行不同操作：

    1）如果是svchost.exe或者alg.exe进程则退出。

    2）如果是Explorer.exe则调用OpenProcessToken、LookupPrivilegeValue、
AdjustTokenPrivileges函数提升自己权限，调用LoadLibrary 函数把qdshm.dll、mszs.dll两个动态库加载起来。

    3）如果是其他进程则起一个线程每隔1秒从System32路径下加载各类偷密码的动态库具体如下：
C:\WINDOWS\system32\SHQZatl.dll、C:\WINDOWS\system32\LRTWatl.dll、
C:\WINDOWS\system32\GZGDatl.dll、C:\WINDOWS\system32\GFSJatl.dll…addrtlhelp.dll盗取并发送用户帐号密码

    该动态库被加载起来后首先会找到System32路径下的kernel32.dll并试图删除该动态库，如果删除成功则退出。

    如果没有成功则查看加载自己的进程，如果是Explorer.exe则起一个线程调用SetWindowsHookEx函数挂接鼠标键盘钩子并创建一个名为__D_的互斥体；如果是游戏进程则查找游戏登陆窗口TianLongBaBu WndClass，记录用户输入的帐户密码并发送到指定地址http://www.ccjj68.cn/yctl200/lin.asp