病毒名称传奇小偷180224
威胁级别★☆☆☆☆
病毒类型偷密码的木马
病毒长度180224
影响系统WinNT Win2000 WinXP
病毒行为这是一个针对网络游戏《热血传奇》的盗号木马。当它检测到《热血传奇》的窗口,就注入游戏进程,通过内存读取的方式窃取用户的帐号信息。
1.木马释放如下文件:
%systemRoot%\IMG.exe
%systemRoot%\235780MM.dll
2.添加如下注册表项,实现开机自启动
HEKY_LOCAL_MACHINESOFTWARTMacrosoftWindowsCurrentVersionRun
"WinSysM" @="%systemRoot%\IMG.exe"
3.添加如下注册表项
HKEY_CURRENT_USERSOFTWARTMacrosoftWindowsShellNoRoamMUICache
"%systemRoot%IGM.exe" @="IMG"
"%systemRoot%sustem32cmd.exe" @="Window Command Processor"
HKEY_USERSS-1-5-21-1229272821-1935655697-725345543-500SoftwareMicrosoftWindowsShellNoRoamMUICache
"C:\WINDOWS\system32\cmd.exe" @="Windows Command Processor"
"C:\WINDOWS\IGM.exe" @="IGM"