病毒预报  第八百零三期

国家计算机病毒应急处理中心通过对互联网的监测，发现一款名为LOL凯特盒子的换肤软件，在后台下发刷量、盗号相关的木马病毒，其入侵范围主要包括QQ空间、兴趣部落回复及QQ、WeGame帐号盗取。该LOL凯特盒子运行后，会从天翼云盘下载病毒程序Skin_GG1.zip。该执行文件除了给QQ空间和兴趣部落刷回复之外，还会利用动态资源库记录用户键盘记录，盗取用户帐号密码。

该软件下载完毕执行Skin_GG1.zip时，病毒会先从wu52q.cn/?c=Public&a=get_config获取配置信息，并根据配置文件执行不同的病毒逻辑。当goto_svchost字段的值为1时，病毒会将自身伪装成系统文件csrss.exe，并根据c1的值来判断是否下载云端链接d1，病毒作者可通过控制d1派发不同的病毒模块。当执行完上述步骤之后，就进入刷量的主流程。Skin_GG1.zip从wu52q.cn/?c=Public&a=get_task获取刷量配置，其中cont字段中保存要回复的内容，然后利用QQ快速登录协议的缺陷，伪造相关的请求包进行刷量。

Skin_GG1.zip资源中携带盗号的动态库Win32Dll.dll，调用其导出函数_E()，开始执行盗号逻辑。Win32Dll.dll会释放一个病毒驱动ctrl2cap64.sys到%temp%目录下加载，该驱动是一个键盘记录器，可以从应用层通过DeviceIoControl()发送不同的控制码来控制驱动监视键盘记录。Win32Dll.dll在检测到当前窗口是QQ或者WeGame的窗体时，就发送0x0x222004监听键盘记录，记录完成后发送0x222010读取记录的数据，并将其发送到C&C服务器中。

针对该恶意程序所造成的危害，建议用户及时给电脑打补丁，修复漏洞，关闭不必要的端口。避免使用未知安全性的软件，如破解程序，游戏辅助，外挂等。同时，给电脑安装安全防护软件，以免使电脑受到该恶意程序的危害。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心