“酷狮子”系列盗号木马病毒原理分析

　　“酷狮子”系列木马的各个变种行为基本一直，有一个EXE文件，并且能释放DLL文件。

　　“酷狮子”木马样本加载过程：

　　“酷狮子”木马先把自己复制到Windows目录，并释放DLL到Windows目录下。接下来检查当前运行的目录是Windows，网游还是其他。当前目录是网游的情况，会先运行网游客户端，然后运行刚才复制到Window目录下的程序。当前目录是Windows的情况会加载DLL部分，然后处于等待状态。DLL成功盗号后，盗号EXE结束执行。

　　如果当前目录不在上述情况中，盗号木马将会查找目标网游的目录，并执行下面操作：

　　WOW：WOW.EXE改名为 W0W.EXE，将W0W.EXE设置为隐藏属性和系统文件属性;盗号木马改名为WOW.EXE。

　　热血江湖：auncher.exe改名为launchar.exe，将launchar.exe设置为隐藏属性和系统文件属性;盗号木马改名为auncher.exe。

　　完美世界、武林外传和诛仙用的相同客户端：elementclient.exe改名为elemontclient.exe，将elemontclient.exe设置为隐藏属性和系统文件属性;盗号木马改名为elementclient.exe。

　　注：没有任何文件保护功能，假如网游需要更新客户端程序，该盗号木马将被清除。

　　盗号部分：

　　在固定偏移读取游戏关键内存数据，通过破解内存中的信息取得用户信息。由于是固定偏移，游戏程序的版本改动都可能导致盗号失败。

　　正如前述，该系列木马是为个人“定做”的，用于接收盗号信息的网址都是不同的，但是参数是相同的。具体格式如下：

　　User= 用户名&pass = 密码& ser = 服务器名_网络连接 &cangku =仓库密码

　　&beizhu = 备注&rw = 等级 &pcname = 计算机名

　　在诛仙盗号中发现的“cctvtvtvtvtD”(CCTV的粉丝?)

　　在完美世界盗号中发现的“真情告白”：

　　“ZHUZHUHENKEAI”

　　“ZHUZHUSHITOUZHU”

　　“WOLAOPOSHIDABENZHUHAHA”

　　在另外一个完美世界盗号中发现：

　　“QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”(“全体客户”是指用户?)