國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)�����,發(fā)現(xiàn)一款名為L(zhǎng)OL凱特盒子的換膚軟件���,在后臺(tái)下發(fā)刷量、盜號(hào)相關(guān)的木馬病毒�����,其入侵范圍主要包括QQ空間、興趣部落回復(fù)及QQ����、WeGame帳號(hào)盜取。該LOL凱特盒子運(yùn)行后���,會(huì)從天翼云盤下載病毒程序Skin_GG1.zip�。該執(zhí)行文件除了給QQ空間和興趣部落刷回復(fù)之外���,還會(huì)利用動(dòng)態(tài)資源庫記錄用戶鍵盤記錄,盜取用戶帳號(hào)密碼�����。
該軟件下載完畢執(zhí)行Skin_GG1.zip時(shí)�,病毒會(huì)先從wu52q.cn/?c=Public&a=get_config獲取配置信息,并根據(jù)配置文件執(zhí)行不同的病毒邏輯����。當(dāng)goto_svchost字段的值為1時(shí),病毒會(huì)將自身偽裝成系統(tǒng)文件csrss.exe�,并根據(jù)c1的值來判斷是否下載云端鏈接d1,病毒作者可通過控制d1派發(fā)不同的病毒模塊�。當(dāng)執(zhí)行完上述步驟之后,就進(jìn)入刷量的主流程。Skin_GG1.zip從wu52q.cn/?c=Public&a=get_task獲取刷量配置��,其中cont字段中保存要回復(fù)的內(nèi)容����,然后利用QQ快速登錄協(xié)議的缺陷,偽造相關(guān)的請(qǐng)求包進(jìn)行刷量�。
Skin_GG1.zip資源中攜帶盜號(hào)的動(dòng)態(tài)庫Win32Dll.dll,調(diào)用其導(dǎo)出函數(shù)_E()����,開始執(zhí)行盜號(hào)邏輯。Win32Dll.dll會(huì)釋放一個(gè)病毒驅(qū)動(dòng)ctrl2cap64.sys到%temp%目錄下加載����,該驅(qū)動(dòng)是一個(gè)鍵盤記錄器,可以從應(yīng)用層通過DeviceIoControl()發(fā)送不同的控制碼來控制驅(qū)動(dòng)監(jiān)視鍵盤記錄���。Win32Dll.dll在檢測(cè)到當(dāng)前窗口是QQ或者WeGame的窗體時(shí)�,就發(fā)送0x0x222004監(jiān)聽鍵盤記錄����,記錄完成后發(fā)送0x222010讀取記錄的數(shù)據(jù),并將其發(fā)送到C&C服務(wù)器中���。
針對(duì)該惡意程序所造成的危害����,建議用戶及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞����,關(guān)閉不必要的端口。避免使用未知安全性的軟件����,如破解程序,游戲輔助���,外掛等。同時(shí)�,給電腦安裝安全防護(hù)軟件,以免使電腦受到該惡意程序的危害���。