检出名

Trojan.MPE.Dozmot

别名

文件类型

可执行PE

简介

一种窃密木马。它可以窃取某些在线游戏的密码,例如”魔兽世界”(WoW),“最终幻想 XI”,“完美世界”,“地下城与勇士”(DNF)等。它收集用户的帐户和密码等信息,并将数据发送到远程服务器。运行时,它将其代码注入到正在运行的进程中,并根据其不同宿主进程而表现出不同的行为。它会检查系统中是否安装反病毒程序并释放文件阻止自身被检测。为了窃取密码,它可能会尝试终止游戏进程以强制用户重新登录。

主要影响

数据窃取

财产损失

降低用户体验

影响应用程序正常使用

文件目录行为

1)安装:

它可能以动态链接库的形式被其他程序释放,并使用”rundll32.exe”启动。

在游戏的安装文件夹释放文件伪装成游戏的文件,例如:

DNFupdate.exe,DNFtext.dll。

2)反查杀:

如果系统中安装了Kaspersky或Rish Antivirus程序,它还会释放以下文件:<系统文件夹>\driver\systemd.sys,并将其安装为服务避免查杀。

3)注入代码到其他程序:

它将其代码注入到以下正在运行的进程中:“explorer.exe”、“wmiprvse.exe”、“alg.exe”、“wuauclt.exe”、“wscntfy.exe”、“ctfmon.exe”和”iexplore.exe”,并根据它注入的不同进程采用不同的参数启动iexplore。

注册表行为

1)检测杀软:

如果系统中安装了Kaspersky或Rising程序,它会通过查询以下注册表子项来检查它们在系统中的安装位置:

HKLM\SOFTWARE\KasperskyLab\SetupFolders\KAV7

HKLM\SOFTWARE\Rising\Rav\name

并释放文件systemd.sys监视防病毒进程以避免检测。然后,它将它安装为服务:

2)在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate中,添加:

“dll”=<文件路径>

网络行为

它修改内存中的游戏进程,然后试图从当前运行的网络游戏进程中窃取以下信息:用户名,密码,服务器地址,字符信息,并将信息发送到远程服务器。

木马将数据以以下格式发送:

<域和子文件夹>/lin.php?m=< MAC地址>&g=<安装的游戏值>

其中 <已安装游戏值> 根据查询注册表安装的游戏来确定,例如:

如果注册表子项”HKLM\SOFTWARE\Blizzard Entertainment\World of Warcraft”存在,则值为”wow+“。

如果注册表子项”HKLM\SOFTWARE\PlayOnline[US|JP|EU]“存在,则值为”ffxi”。

如果服务器返回成功,则木马从相同的域中下载一个URL列表文件,并根据列表下载每个文件,如果文件是可执行的,它将启动这些文件。如果此步骤失败,它将以10秒的间隔重试5次,最后终止进程”iexplore.exe”。