病毒名称
Trojan-PSW.Win32.OLGames.jlm
病毒症状
该病毒是一个使用VC++ 6.0编写的木马程序,采用Upack V0.37加壳以躲过特征码扫描,加壳后长度12,138字节,图标windows默认可执行文件图标,病毒扩展名为exe,传播途径主要为网页挂马,文件捆绑。
病毒分析
病毒运行后,在%systemroot%system32下生成IGB_DJOL_1023.exe病毒主体文件和IGB_DJOL_1023.dll文件。接着开启一个新的进程运行IGB_DJOL_1023.exe程序,并利用一个批处理将自身删除,以减少病毒被用户发现的概率。之后便修改注册表HKCRCLSID\InProcServer32的(Default)的值为IGB_DJOL_1023.dll以及修改HKLM中下的explorer相关注册表,使得病毒能够在系统启动时注入explorer及其开启的各个进程中;
接着病毒将遍历系统正在运行的进程,如果找到WoW.exe、zeroonline.exe和gameclient.exe的进程,便将其结束。待用户重新进入游戏时便获取玩家的帐号和密码。成功之后将其加密以邮件的形式通过SMTP和网页收信空间发送给病毒传播者;
感染对象
Windows ME/Windows 2000/Windows XP/ Windows 2003
传播途径
网页挂马,文件捆绑
技术细节
病毒添加的注册表项:
项:HKCRCLSID\InprocServer32
键值: (Default)
值:IGB_DJOL_1023.dll
项:HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
键值:
值:IGB_DJOL_1023.dll
病毒所盗取的网络游戏:
魔兽世界
机战
浩方
刀剑OL
魔域
问道
奇迹世界
投名状