“酷獅子”系列木馬的各個變種行為基本一直,有一個EXE檔案,並且能釋放DLL檔案。
“酷獅子”木馬樣本載入過程:
“酷獅子”木馬先把自己複製到Windows目錄,並釋放DLL到Windows目錄下。接下來檢查當前運行的目錄是Windows,網遊還是其他。當前目錄是網遊的情況,會先運行網遊客戶端,然後運行剛才複製到Window目錄下的程式。當前目錄是Windows的情況會載入DLL部分,然後處於等待狀態。DLL成功盜號後,盜號EXE結束執行。
如果當前目錄不在上述情況中,盜號木馬將會查找目標網遊的目錄,並執行下面操作:
WOW:WOW.EXE改名為 W0W.EXE,將W0W.EXE設定為隱藏屬性和系統檔案屬性;盜號木馬改名為WOW.EXE。
熱血江湖:auncher.exe改名為launchar.exe,將launchar.exe設定為隱藏屬性和系統檔案屬性;盜號木馬改名為auncher.exe。
完美世界、武林外傳和誅仙用的相同客戶端:elementclient.exe改名為elemontclient.exe,將elemontclient.exe設定為隱藏屬性和系統檔案屬性;盜號木馬改名為elementclient.exe。
註:沒有任何檔案保護功能,假如網遊需要更新客戶端程式,該盜號木馬將被清除。
盜號部分:
在固定偏移讀取遊戲關鍵記憶體數據,通過破解記憶體中的信息取得用戶信息。由於是固定偏移,遊戲程式的版本改動都可能導致盜號失敗。
正如前述,該系列木馬是為個人“定做”的,用於接收盜號信息的網址都是不同的,但是參數是相同的。具體格式如下:
User= 用戶名&pass = 密碼& ser = 伺服器名_網路連線 &cangku =倉庫密碼
&beizhu = 備註&rw = 等級 &pcname = 計算機名
在誅仙盜號中發現的“cctvtvtvtvtD”(CCTV的冬粉?)
在完美世界盜號中發現的“真情告白”:
“ZHUZHUHENKEAI”
“ZHUZHUSHITOUZHU”
“WOLAOPOSHIDABENZHUHAHA”
在另外一個完美世界盜號中發現:
