這是壹個盜號木馬程序。該程序首先會尋找含有“遊戲”的窗口,然後建立消息監視程序,截獲用戶與網遊服務器之間的網絡數據包,從而盜取用戶的帳號相關信息。
1.程序運行後,生成文件
%WINDOWS%\System32\xsbio.dll
%WINDOWS%\System32\patch.exe
2.在註冊表中添加了註冊項,如下:
HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
啟動項名:@ 對應路徑:C:\WINDOWS\System32 io.dll
HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
啟動項名:ThreadingModel 對應值:Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
啟動項名:@ 對應路徑:C:\WINDOWS\System32\patch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
啟動項名:ThreadingModel 對應值:Apartment
3.木馬會尋找互斥量_MUTEX_AD_____LOADER ,用來判斷是否已經有木馬在運行;若沒有則會創建文件,
調用xsbio.dll中的函數JumpHookOn開始工作。
4.木馬會通過尋找含有遊戲的窗口,然後截獲網絡數據包,從而盜取網遊用戶的帳號相關信息。