梦幻西游盗号者Trojan-PSW.Win32.OL-Games.jja

该样本是使用Delphi编写的盗号程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描,加壳后长度为19,740字节，图标为，病毒扩展名为exe，主要通过网页木马、文件捆绑的方式传播，病毒主要盗取网络游戏梦幻西游的帐号、密码以及其他私人信息。

病毒分析

    该样本程序被执行后，拷贝自身到%SystemRoot%目录下，重命名为“ytewcxzsw.exe”；在%SystemRoot%\system32目录下释放动态库“ytewcxzsw.dll”；修改注册表自启动项以随系统一起启动；遍历进程查找explorer.exe，申请内存空间将动态库ytewcxzsw.dll写入，使用相关API函数激活病毒代码进行代码注入躲避常规杀毒软件的查杀；

动态库“ytewcxzsw.dll”被激活后，修改如下注册表健值使得进程启动时自动加载动态库“ytewcxzsw.dll”；遍历进程查找梦幻西游“my.exe”，通过读取其内存获取网络游戏的帐号、密码以及其他私人信息，通过HTTP协议将木马所截获信息发送到盗号者收信空间中。

Tags：