“破天一剑终结者变种CL”病毒技术细节

这是一个偷取偷取网络游戏《破天一剑》用户密码的病毒

病毒运行后首先会判断自己是否在用户机器中运行过，如果没有运行过病毒会进行一系列的初始化工作，如果运行过病毒则会直接启动一个线程挂接键盘鼠标钩子，把动态库注入到其他进程中。

初始化包括以下几项工作：

1.释放病毒文件

病毒会在System32路径下释放病毒本身kapjeaz.exe和动态库文件kapjezy.dll。病毒还会在C:\WINDOWS\Fonts路径下释放enpoafx.fon和kapjecs.dll这两个文件，这两个文件分别以密文和明文的方式存放着用户帐号密码发送网址。

2.添加注册表自启动项

病毒添加以下注册表项实现自启动

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows

"AppInit_DLLs"=kapjezy.dll

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

"{5A321487-4977-D98A-C8D5-6488257545A5}"=kapjezy.dll

3.遍历进程查找是否存在游戏进程china_login.mpr，如果存在则结束该进程。

初始化结束后病毒会运行System32路径下的病毒文件kapjeaz.exe并把自己删除掉。

动态库文件主要用来获取并发送用户帐号密码：

动态库被加载后首先判断自己所在进程是否是游戏进程china_login.mpr，如果是则每隔1毫秒查找游戏登陆窗口获取用户输入的帐号密码并发送到http://qiuyulei888.04.wt.zitian.cn/ww/post.asp网址

如果动态库所在进程不是游戏进程，则启动一个线程每隔2秒进行以下操作：

首先通过挂接键盘鼠标钩子把动态库注入到其他进程。

然后调用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函数提升自己权限。

接着病毒添加以下注册表项实现禁用Windows自动更新、禁用防火墙的功能

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\

WindowsUpdate\AU

NoAutoUpdate=1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\

Parameters\FirewallPolicy\StandardProfile

EnableFirewall=0

然后遍历进程查找是否存在游戏进程china_login.mpr，如果存在则结束该进程。

最后遍历进程查找是否存在反外挂程序进程TQAT.exe，如果存在则结束该进程。

安全建议：

1安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3不浏览不良网站，不随意下载安装可疑插件。

4不接收QQ、MSN、Emial等传来的可疑文件。

5上网时打开杀毒软件实时监控功能。

6把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到20.18.31版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。