病毒名稱: Trojan/Win32.Agent.acfe [Dropper]
該病毒為熱血傳奇盜號木馬,病毒運行后,遍歷進程查找"alien32.exe",如找到則強行結束該進程,拷貝自身文件到%system32%目錄下,重命名為:alien32.exe,獲取NTDLL.DLL文件時間,將衍生的病毒文件創建時間設置為獲取的NTDLL.DLL文件的時間,調用API函數創建%system32%目錄下病毒進程,病毒運行完后刪除自身,alien32.exe病毒文件運行后查找類名為"SHRTMIR"的窗體,衍生DLL病毒文件到%system32%目錄下,動態加載病毒DLL文件、獲取病毒DLL基礎,并調用病毒DLL,枚舉內核模塊名"ntkrnlpa.exe"并加載該進程,創建病毒驅動文件到%system32%\Drivers目錄下,并打開病毒服務,等待加載完畢后、刪除病毒驅動文件,添加注冊表RUN啟動項,遍歷進程查找360tray.exe進程、找到后強行結束該進程,遍歷進程查找explorer.exe進程、找到后調用內核函數獲取該進程句柄、修改進程的訪問令牌,申請內存空間、將病毒DLL寫到explorer.exe與svchost.exe進程中,并創建一個線程。DLL文件主要行為:查找類名"SAS Window class"的窗體,并向該窗體發送錯誤消息,查找游戲類名"TFrmMain"名稱為“傳奇加載”的窗體,找到后調用函數向該窗體發送消息,檢測包含病毒預定的文字控件按鈕、如匹配成功則刪除該窗體的安全檢測控件,使游戲安全檢測項失效、以到達截取游戲帳戶密碼目的,通過URL方式發送到作者指定的地址中。
