技术角度看酷狮子盗号木马原理

“酷狮子”木马样本加载过程：

“酷狮子”木马先把自己复制到Windows目录，并释放DLL到Windows目录下。接下来检查当前运行的目录是Windows，网游还是其他。当前目录是网游的情况，会先运行网游客户端，然后运行刚才复制到Window目录下的程序。当前目录是Windows的情况会加载DLL部分，然后处于等待状态。DLL成功盗号后，盗号EXE结束执行。

如果当前目录不在上述情况中，盗号木马将会查找目标网游的目录，并执行下面操作：

WOW：WOW.EXE改名为 W0W.EXE，将W0W.EXE设置为隐藏属性和系统文件属性；盗号木马改名为WOW.EXE。

热血江湖：auncher.exe改名为launchar.exe，将launchar.exe设置为隐藏属性和系统文件属性；盗号木马改名为auncher.exe。

完美世界、武林外传和诛仙用的相同客户端：elementclient.exe改名为elemontclient.exe，将elemontclient.exe设置为隐藏属性和系统文件属性；盗号木马改名为elementclient.exe。

注：没有任何文件保护功能，假如网游需要更新客户端程序，该盗号木马将被清除。

盗号部分：

在固定偏移读取游戏关键内存数据，通过破解内存中的信息取得用户信息。由于是固定偏移，游戏程序的版本改动都可能导致盗号失败。

正如前述，该系列木马是为个人“定做”的，用于接收盗号信息的网址都是不同的，但是参数是相同的。具体格式如下：

User= 用户名&pass = 密码& ser = 服务器名_网络连接 &cangku =仓库密码 
&beizhu = 备注&rw = 等级 &pcname = 计算机名

在诛仙盗号中发现的“cctvtvtvtvtD”（CCTV的粉丝？）

在完美世界盗号中发现的“真情告白”：

“ZHUZHUHENKEAI”
“ZHUZHUSHITOUZHU”
“WOLAOPOSHIDABENZHUHAHA”

在另外一个完美世界盗号中发现：

“QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”（“全体客户”是指用户？）