“酷獅子”系列盜號木馬病毒原理分析

　　“酷獅子”系列木馬的各個變種行為基本一直，有一個EXE文件，並且能釋放DLL文件。

　　“酷獅子”木馬樣本加載過程：

　　“酷獅子”木馬先把自己復制到Windows目錄，並釋放DLL到Windows目錄下。接下來檢查當前運行的目錄是Windows，網游還是其他。當前目錄是網游的情況，會先運行網游客戶端，然後運行剛才復制到Window目錄下的程序。當前目錄是Windows的情況會加載DLL部分，然後處於等待狀態。DLL成功盜號後，盜號EXE結束執行。

　　如果當前目錄不在上述情況中，盜號木馬將會查找目標網游的目錄，並執行下面操作：

　　WOW：WOW.EXE改名為 W0W.EXE，將W0W.EXE設置為隱藏屬性和系統文件屬性;盜號木馬改名為WOW.EXE。

　　熱血江湖：auncher.exe改名為launchar.exe，將launchar.exe設置為隱藏屬性和系統文件屬性;盜號木馬改名為auncher.exe。

　　完美世界、武林外傳和誅仙用的相同客戶端：elementclient.exe改名為elemontclient.exe，將elemontclient.exe設置為隱藏屬性和系統文件屬性;盜號木馬改名為elementclient.exe。

　　注：沒有任何文件保護功能，假如網游需要更新客戶端程序，該盜號木馬將被清除。

　　盜號部分：

　　在固定偏移讀取游戲關鍵內存數據，通過破解內存中的信息取得用戶信息。由於是固定偏移，游戲程序的版本改動都可能導致盜號失敗。

　　正如前述，該系列木馬是為個人“定做”的，用於接收盜號信息的網址都是不同的，但是參數是相同的。具體格式如下：

　　User= 用戶名&pass = 密碼& ser = 服務器名_網絡連接 &cangku =倉庫密碼

　　&beizhu = 備注&rw = 等級 &pcname = 計算機名

　　在誅仙盜號中發現的“cctvtvtvtvtD”(CCTV的粉絲?)

　　在完美世界盜號中發現的“真情告白”：

　　“ZHUZHUHENKEAI”

　　“ZHUZHUSHITOUZHU”

　　“WOLAOPOSHIDABENZHUHAHA”

　　在另外一個完美世界盜號中發現：

　　“QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”(“全體客戶”是指用戶?)