【IT168 专稿】该恶意代码为永恒之塔游戏盗号木马，病毒运行之后动态加载"Kernel32.dll"系统库文件，遍及进程查找aion.bin（永恒之塔游戏）进程，如找不到则调用函数查找aion client的窗口并向窗口发送关闭消息，找到之后强行结束该进程，并释放病毒文件到%Temp%临时目录下并拷贝一份到%System32%目录下，拷贝%System32%与%System32%\DllCache\目录下的perfctrs.dll分别命名为perfctrs.dll.rep、perfctrs.dll.bak，动态加载sfc_os.dll系统库文件调用该库中的#5序号函数去掉对perfctrs.dll、d3d9.dll文件的保护，判断文件第一个节是否是.text，如果是则开始感染，感染完毕后将perfctrs.dll.rep、perfctrs.dll.bak、d3d9.bak改为原文件名并删除之前备份的文件，游戏运行后会调用这2个库文件因此这2个被感染的库文件具有盗号行为，病毒衍生文件通过遍历进程查找playnclauncher.exe进程和遍历窗体查找含有“aion引导程序”文字窗体，找到后安装键盘消息钩子截取游戏账号密码通过URL方式发送到作者指定的地址中，病毒运行完毕后使用CMD命令删除自身。

    行为分析-本地行为

    1、病毒运行后衍生文件到以下目录
%Windir%\system\Tob1.tmp
%Documents and Settings%\当前所在用户\Local Settings\Temp\Tob1.tmp

    2、感染%System32%目录下的"d3d9.dll"、"perfctrs.dll"文件，当游戏运行后会加载该2个系统库文件，被感染的文件具有盗号行为，然后达到不添加注册表项绕过杀毒软件查杀。

    3、病毒运行之后动态加载"Kernel32.dll"系统库文件，遍及进程查找aion.bin（永恒之塔游戏）进程，如找不到则调用函数查找aion client的窗口并向窗口发送关闭消息，找到之后强行结束该进程。

    4、动态加载sfc_os.dll系统库文件调用该库中的#5序号函数去掉对perfctrs.dll、d3d9.dll文件的保护，判断文件第一个节是否是.text，如果是则开始感染，感染完毕后将perfctrs.dll.rep、perfctrs.dll.bak、d3d9.bak改为原文件名并删除之前备份的文件，游戏运行后会调用这2个库文件因此这2个被感染的库文件具有盗号行为。

    5、病毒衍生文件通过遍历进程查找playnclauncher.exe进程和遍历窗体查找含有“aion引导程序”文字窗体，找到后安装键盘消息钩子截取游戏账号密码通过URL方式发送到作者指定的地址中。

    行为分析-网络行为

    数据传输的参数有如下几种形式
    %s?action=dropoff&u=%s