“酷獅子”系列木馬的各個(gè)變種行為基本一直，有一個(gè)EXE文件，并且能釋放DLL文件 。
“酷獅子”木馬樣本加載過程：
“酷獅子”木馬先把自己復(fù)制到Windows目錄，并釋放DLL到Windows目錄下 。接下來檢查當(dāng)前運(yùn)行的目錄是Windows，網(wǎng)游還是其他 。當(dāng)前目錄是網(wǎng)游的情況，會(huì)先運(yùn)行網(wǎng)游客戶端，然后運(yùn)行剛才復(fù)制到Window目錄下的程序 。當(dāng)前目錄是Windows的情況會(huì)加載DLL部分，然后處于等待狀態(tài) 。DLL成功盜號(hào)后，盜號(hào)EXE結(jié)束執(zhí)行 。
如果當(dāng)前目錄不在上述情況中，盜號(hào)木馬將會(huì)查找目標(biāo)網(wǎng)游的目錄，并執(zhí)行下面操作：
WOW：WOW.EXE改名為 W0W.EXE，將W0W.EXE設(shè)置為隱藏屬性和系統(tǒng)文件屬性;盜號(hào)木馬改名為WOW.EXE 。
熱血江湖：auncher.exe改名為launchar.exe，將launchar.exe設(shè)置為隱藏屬性和系統(tǒng)文件屬性;盜號(hào)木馬改名為auncher.exe 。
完美世界、武林外傳和誅仙用的相同客戶端：elementclient.exe改名為elemontclient.exe，將elemontclient.exe設(shè)置為隱藏屬性和系統(tǒng)文件屬性;盜號(hào)木馬改名為elementclient.exe 。
注：沒有任何文件保護(hù)功能，假如網(wǎng)游需要更新客戶端程序，該盜號(hào)木馬將被清除 。
盜號(hào)部分：
在固定偏移讀取游戲關(guān)鍵內(nèi)存數(shù)據(jù)，通過破解內(nèi)存中的信息取得用戶信息 。由于是固定偏移，游戲程序的版本改動(dòng)都可能導(dǎo)致盜號(hào)失敗 。
正如前述，該系列木馬是為個(gè)人“定做”的，用于接收盜號(hào)信息的網(wǎng)址都是不同的，但是參數(shù)是相同的 。具體格式如下：
User= 用戶名&pass = 密碼& ser = 服務(wù)器名_網(wǎng)絡(luò)連接 &cangku =倉庫密碼
&beizhu = 備注&rw = 等級(jí) &pcname = 計(jì)算機(jī)名
在誅仙盜號(hào)中發(fā)現(xiàn)的“cctvtvtvtvtD”(CCTV的粉絲?)
在完美世界盜號(hào)中發(fā)現(xiàn)的“真情告白”：
“ZHUZHUHENKEAI”
“ZHUZHUSHITOUZHU”
“WOLAOPOSHIDABENZHUHAHA”
【“酷獅子”系列盜號(hào)木馬病毒原理分析】在另外一個(gè)完美世界盜號(hào)中發(fā)現(xiàn)：
“QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”(“全體客戶”是指用戶?)

推薦閱讀

• 

  胡蘿卜富含什么
• 

  椰子屬于被子植物嗎，椰子為什么是被子植物？
• 

  夢(mèng)見穿綠色褲子 夢(mèng)見穿綠色褲子是什么意思
• 

  姐弟戀的好處有哪些
• 

  軟籽石榴的籽可以吞下去嗎
• 

  除夕快樂手抄報(bào)怎么畫
• 

  初中孩子上課愛說話怎么辦，初中學(xué)生上課愛說話怎么辦
• 

  桑蠶絲衣服上有污漬怎么洗
• 

  衣服上的頑固水果漬怎么去除 衣服上頑固水果漬的去除方法
• 

  簞怎么讀音是什么意思 簞怎么讀音怎樣解釋
• 

  什么是電池的克容量
• 

  吉首大學(xué)是按什么規(guī)則錄取,吉首大學(xué)怎么樣
• 

  珠海長(zhǎng)隆海洋王國酒店門票多少錢一張，珠海橫琴長(zhǎng)隆海洋王國票價(jià)多少錢
• 

  石家莊和沈陽屬于哪個(gè)省
• 

  雁鴨和鴨子的區(qū)別
• 

  核桃油開封后能放多久

• 竹馬指什么含義 青梅竹馬的意思內(nèi)涵解釋
• 篤行之的前四句是什么 篤行之前面幾句
• 我們犯了錯(cuò)誤要讓別人指出來改為雙重否定句我們犯了錯(cuò)誤要讓別人指出來改為雙重否定句是什么
• 夏播過后這樣防控“幺蛾子”
• “對(duì)癥下藥”預(yù)防西瓜空心皮厚
• 甜瓜裂瓜需注意“對(duì)癥下藥”很關(guān)鍵
• 為i做e是什么意思什么梗 i人和e人是什么意思
• 數(shù)字的漢字寫法 數(shù)字的漢字寫法是什么
• 相機(jī)ev什么意思
• 記住這些“順口溜” 快速識(shí)別常見病害