中关村在线 首页 | 产品报价 | 论坛 | 专题 | 新闻 | 视频 | 手机软件 | 软件下载 | ZOL客户端
 
 
 
 
 
新手指南:

龙之谷怎么洗点 | 龙之谷纹章 | 龙之谷怎么升级快 | 龙之谷深渊 | 龙之谷什么职业好玩 | 龙之谷金币 | 龙之谷任务 | 龙之谷疲劳表 | 战士转职任务 | 弓手转职任务 | 法师转职任务 | 牧师转职任务 | 龙之谷f4称号 | 龙之谷赚钱 | 龙之谷好感度 | 龙之谷强化 | 废人称号 | 黑暗神殿称号 | 至尊称号 | pl消耗表 |

进阶之路: 龙之谷二转 | 天启套装 | 龙之谷战神PK加点 | 龙之谷游侠PK加点 | 龙之谷t3贤者加点 | 龙之谷剑圣加点 | 龙之谷天启巢穴 | 龙之谷贤者加点 | 龙之谷祭祀加点
 
 
龙之谷最新专题/活动
普天同庆《龙之谷》国庆八大活动抢先看 龙之谷第三章命名活动 神秘大奖等你拿
6 8
7 5
4 3
最热门文章 最找骂文章
龙之谷精彩视频
龙之谷战神PK连招、破招CD使用技巧视频
龙之谷战神PK连招、破招CD
开场白不需要太多,直接见视频,现在龙之谷国服玩家慢慢成熟起来。希望此视频能帮助到大家!战神PK连招、破招CD使用技巧视频 ……[详细]
·到底什么翻倍《龙之谷》X2今日翻倍上
·龙之谷T3游侠单刷黑狮蝎高清视频附讲
·龙之谷牛头怪的巢穴通关流程视频
·阴森森林中的幽灵村副本通关流程视频
·龙之谷枯树林的爆炸地区副本通关流程
龙之谷精彩图片
激情海滩抓住夏天的尾巴
激情海滩抓住夏天的尾
我的龙之谷手绘心情故事
我的龙之谷手绘心情故
比群嘲更群嘲的武器
比群嘲更群嘲的武器
唯美龙之谷图片欣赏
唯美龙之谷图片欣赏
·龙之谷副本疲劳值最新版32-40级副本
·重生鬼马小精灵 DN玩家自制四职业手办
·神兽是神马模样 龙之谷狮蝎即逆袭而来
·南瓜灯与女巫帽 龙之谷万圣节同人赏
·龙之谷柚子头美图:背背山才是王道首
内容列表
当前位置:中关村游戏网 >> 龙之谷 >> 解读龙之谷盗号木马Trojan-PSW.Win32.

解读龙之谷盗号木马Trojan-PSW.Win32.


作者:小49 责任编辑:董斌 【转载】 互联网 2010年09月26日 05:33 [评论]

  请大家注意一下,不要牺牲咯!

  龙之谷盗号木马

  Trojan-PSW.Win32.OnLineGames.d

  捕获时间

  2010-9-13

  危害等级

  中

  病毒症状

  该样本是使用“VC ”编写的盗号木马,用Upack加壳。由微点主动防御软件自动捕获,长度为“25,436 字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为盗取网络游戏“龙之谷”的“用户名”、“密码”等相关信息。

  用户中毒后,会出现“龙之谷” 游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象,最终将导致虚拟财产被黑客盗取。

  感染对象

  Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

  传播途径

  文件捆绑、网页挂马、下载器下载

  未安装杀毒软件主动防御软件的手动解决办法:

  1、手动删除以下文件:

  %Temp%\TML4.tmp

  %SystemRoot%\system32\d3d9.dll.tmpz

  %SystemRoot%\system32\d3d9.dll

  %SystemRoot%\system32\DllCache\d3d9.dll

  %SystemRoot%\system32\DllCache\d3d9.dll.tmpx

  2、手动更改以下文件

  用正常的d3d9.dll替换被感染的

  %SystemRoot%\system32\d3d9.dll

  %SystemRoot%\system32\DllCache\d3d9.dll

  变量声明:

  %SystemDriver%       系统所在分区,通常为“C:\”

  %SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”

  %Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”

  %Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”

  %ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

  病毒分析

  1、病毒利用sc.exe打开服务,结束并删除cryptsvc服务,并且不让此服务随机启动,从而关闭系统认证保护功能;

  2、查找临时文件夹路径,在%Temp%下创建文件TML4.tmp,提升自身进程权限;

  3、建立进程快照,遍历进程查找explorer.exe,然后将TML4.tmp的进程注入explorer.exe,以达到隐藏自身进程目的;

  4、获取系统路径,查找系统文件%SystemRoot%\system32\d3d9.dll,找到后将其复制为d3d9.dll.tmpz,并且重写该文件,完成后将系统文件d3d9.dll重命名为d3d9.dll.tmpx,并将感染后的%SystemRoot%\system32 \d3d9.dll.tmpz复制为%SystemRoot%\system32\d3d9.dll和%SystemRoot%\system32 \DllCache\d3d9.dll,DLLCache文件夹中原来正常d3d9.dll重命名为d3d9.dll.tmpx,完成后删除%SystemRoot%\system32\d3d9.dll.tmpx;

  5、查找系统文件sfc-os.dll,破坏Windows文件保护。

  6、建立进程快照,查找dragonNest.exe进程,找到则结束该游戏进程;

  7、获取临时文件夹路径,创建批处理%Temp%\delself.bat批处理删除病毒源文件和自身。

  8、游戏运行后会自动加载被病毒感染的%SystemRoot%\system32\d3d9.dll,该文件会让游戏程序加载TML4.tmp;

  加载TML4.tmp文件后,创建消息钩子,获取用户帐号密码等信息,发送到黑客指定网址。

  病毒创建文件:

  %Temp%\TML4.tmp

  %SystemRoot%\system32\d3d9.dll.tmpx

  %SystemRoot%\system32\d3d9.dll.tmpz

  %SystemRoot%\system32\DllCache\d3d9.dll.tmpx

  %Temp%\delself.bat

  病毒替换文件:

  %SystemRoot%\system32\d3d9.dll

  %SystemRoot%\system32\DllCache\d3d9.dll

  SystemRoot%\system32\sfc-os.dll

  病毒删除文件:

  %SystemRoot%\system32\d3d9.dll.tmpx

  %Temp%\delself.bat


拓展阅读:

龙之谷全裸时代?马赛克什么的最讨厌啦

龙之谷技能伤害值详解 测试数据总结

龙之谷韩服 浅谈国服未来游戏的走向

龙之谷第三章10月中开放40级与纹章系统

 
相关游戏

"龙之谷"下载
外文名称:Dragon Ne
发行日期:2010-08-05
开发厂商:EYEDENTIT
发行厂商:盛大
游戏平台:网络游戏
游戏类型:角色扮演
0
0
0
共有 0 个网友打分,点击表情图直接打分
 
 
 
ZOL简介 | 用户注册 | 广告服务 | 招聘 | ZOL历程 | 站点地图 | 联系方式 | 图库 | RSS订阅
北京海淀区知春路113号银网中心A座9F 400-678-0068 反馈留言板 传真:010-62529275
Copyright © 1999 - ZOL. All rights reserved. 中关村在线 版权所有. 京ICP证010391号