Win32.PSWTroj.OnLineGames.ni.458752病毒分析

Win32.PSWTroj.OnLineGames.ni.458752是一个会盗窃网络游戏《热血江湖》账号的木马程序。它运行后会替换掉网游《热血江湖》的启动文件，让用户通过病毒伪装的启动文件进入游戏。

病毒名称(中文)：热血江湖伪装登录器458752

威胁级别：★☆☆☆☆

病毒类型：偷密码的木马

病毒长度：458752

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这是一个会盗窃网络游戏《热血江湖》账号的木马程序。它运行后会替换掉网游《热血江湖》的启动文件，让用户通过病毒伪装的启动文件进入游戏，从而盗取系统上的账号信息，并发送给木马作者。

1.程序运行后，生成文件


%windows%\BO.exe
%System32%\terple.sys
%System32%\sperls.dll
 

2.在注册表中添加了注册项，如下：


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 网管网www_bitscn_com
"QQ项名"="%Windows%\BO.exe"
 

3.木马会自动删除原文件本身。

4.木马会通过创建"_B"和"DHY"等互斥量，防止木马重复感染，木马会把dll文件注入explorer.exe，Client.exe进程中，安装全局钩子。

5.遍历磁盘，查找 "yb_sync.dll"和"yb_mem.dll" 两个文件的所在路径。(热血江湖游戏文件)

把游戏目录下的程序 launcher.exe 重命名为 launchar.exe，并设置 launchar.exe 的文件属性为"系统"和"隐藏"。将病毒文件 BO.exe 复制到游戏目录下，重命名为 launcher.exe。用户启动游戏时会运行病毒，查找窗口名为"YB_OnlineClient"的窗口，通过读取该游戏进程的内存方式盗取网游热血江湖的账号信息并发送至木马作者指定的接收网址。