木马可以分为盗号类木马（分析一盗号木马（全文字叙述让大家都看得懂））

相信目前很多小伙伴对于分析一盗号木马（全文字叙述，让大家都看得懂）都比较感兴趣，那么小搜今天在网上也是收集了一些与分析一盗号木马（全文字叙述，让大家都看得懂）相关的信息来分享给大家，希望能够帮助到大家哦。

1、文件系统变化未安装指定游戏后的文件系统变化：感染后在Temp木有会有一个kb****.nvv文件，在C:\ProgramFiles\Common Files\System有一个kv****.nvv文件，在C:\WINDOWS\system32会有一个dsound.dll.OLWU，在C:\WINDOWS\system32\dllcache有一个dsound.dll.OLWU，C:\WINDOWS\system32\dllcache\dsound.dll文件以及C:\WINDOWS\system32\dsound.dll文件大小由359kb增加到361kb，Temp目录生成一个tempVidio.bat文件。

2、安装指定游戏后的文件系统变化：感染后在Temp木有会有一个kb****.nvv文件在C:\WINDOWS\system32会有一个dsound.dll.dat感染C:\WINDOWS\system32\dsound.dll.dat将感染后的dsound.dll.dat拷贝到游戏目录下面并改名为dsound.dll将kb****.dll以文件名mscvp80.org拷贝到游戏目录并设置系统隐藏属性

3、注册表变化程序会遍历注册表，寻找游戏痕迹。网络症状通过HTTP发信方式发送游戏用户信息出去详细分析／功能介绍当样本在未安装游戏的电脑运行运行后做如下操作：1.首先动态获取提权API进行提权操作，然后遍历进程，查看是否有AutoPatch.exe以及soul.exe进程2.获取Temp目录，以资源的方式在目录下面释放一个文件（文件命名通过开机到现在的时间得到一个kb****.nvv的文件）3.打开释放在temp文件下面的kb*****.nvv向文件写入340字节数据（加密后的收信地址）4.查询注册表是否拥有soul键值5.打开游戏目录下面的msvcp.org文件，设置属性为常规，将Temp目录下面的kb****.nvv以文件名mscvp.org拷贝在游戏目录下面6.打开C:\Windows\system32\dsound.dll做操作，在当前目录拷贝一份名字为dsound.dll.dat，查看是不是有texc区段，没有就增加这个区段7.将C:\Windows\system32\dsound.dll.dat以文件名dsound.dll拷贝到游戏目录下面8.在Temp目录下面生成一个批处理文件（tempVidio.bat），达到自删除的效果，运行批处理文件，然后结束进程。当样本在安装游戏的电脑运行运行后做如下操作：1.   首先动态获取提权API进行提权操作，然后遍历进程，查看是否有AutoPatch.exe以及soul.exe进程2.   获取Temp目录，以资源的方式在目录下面释放一个文件（文件命名通过开机到现在的时间得到一个kb****.nvv的文件）3.   打开释放在temp文件下面的kb*****.nvv向文件写入340字节数据（加密后的收信地址）4.   查询注册表是否拥有soul键值5.   将temp目录下面的kv****.nvv文件拷贝到C:\Program Files\CommonFiles\System，然后设置属性为隐藏6.   打开C:\Windows\system32\dsound.dll做操作，在当前目录拷贝一份名字为dsound.dll.dat，查看是不是有texc区段，没有就增加这个区段（这里程序为了避免系统发出文件丢失的警告，同时修改了C:\Windows\system32\dsound.dll与C:\WINDOWS\system32\dllcache\dsound.dll）并且在这两个目录下面还有dsound.dll.OLWU备份7.   在Temp目录下面生成一个批处理文件（tempVidio.bat），达到自删除的效果，运行批处理文件，然后结束进程。

4、对劫持的dsound.dll分析：在没有游戏文件夹的情况下：dsound.dll会去LoadLibrary C:\ProgramFiles\Common Files\System\kv*****.nvv文件在有游戏文件夹的情况下：Dsound.dll就在游戏目录下面，会去调用当前文件目录下面的msvcp80.org（这个文件其实就是kv****.nvv）文件

5、对盗号主体文件的分析：1.   加壳了一个UPX的壳，先去OEP2.   判断调用自己的进程是不是soul.exe，不是就退出3.   解密收信地址，解密后的地址是（解密算法就是异或操作）：http://k9876.com:8166/fen/kl4/linzw.asphttp://121.12.119.130:8166/fen/kl4/linzw.asphttp://k9876.com/fen/kl4/wsidny.asp(都失效了)4.   Hook了游戏进程的MessageBox前五个字节，跳向的恶意代码的地址，恶意代码通过载入SoulLogin.dll与dinput8.dll来获取密码5.   通过Http向指定空间发送游戏用户信息：

6、手动修补方式：1    重启电脑2    F8进入安全模式3    删除C:\WINDOWS\system32与C:\WINDOWS\system32\dllcache\下面的dsound.dll与dsound.dll.OLWU，从干净的系统中拷贝一份dsound.dll在这两个目录下面。4    删除Temp目录下面的kv00000000.nvv，删除C:\ProgramFiles\Common Files\System\kv00000000.nvv5   删除游戏文件目录下面的dsound.dll与msvcp80.org文件

本文到此结束，希望对大家有所帮助。