盗号木马Trojan-PSW.Win32.OLGame.guv

盗号木马Trojan-PSW.Win32.OLGame.guv

该程序是使用VC编写的盗号程序，由微点主动防御软件自动捕获，采用UPack加壳方式试图躲避特征码扫描，加壳后长度19,549字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。

病毒分析

    该木马程序被执行后，拷贝自身到%systemroot%目录下，重命名为SHAProc.exe； 在目录%systemroot%\system32目录下释放动态库SHAProc.dat；修改注册表自启动项使病毒随系统一起启动；遍历进程查找explorer.exe，申请内存空间将SHAProc.dat写入，通过远程线程创建激活病毒代码进行代码注入；病毒试图通过全局挂钩注入到所有进程中，通过相关API函数获取病毒所在进程的名称，和So2game.exe进行比较，若相同则通过读写其内存，获取网络游戏账号和密码以及其它私人信息，以网络收信空间的形式发给木马种植者。

技术细节

病毒修改注册表项：