病毒别名: 处理时间:2006-08-21 威胁级别:★
中文名称: 病毒类型:木马影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒为Windows平台下专门针对传奇网络游戏的盗号型木马,病毒运行后将自身复制至系统目录下,并加入注册表自启动项,然后在后门监视用户游戏帐号、密码等信息,并将信息保存为系统目录下的特定文件,网络可用时病毒将相关信息发送给病毒作者,导致用户帐号密码丢失。
病毒主要通过网络欺骗方式进行传播。
1、病毒运行过程中判断自身是否为系统目录下的".exe"文件,不是则复制自身为以下文件:
%Windir%system32.exe
然后生成"deleteme.bat"文件,并删除以下注册表项,使其"deleteme.bat"可以正常运行:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp]
NoRealMode = value
2、病毒运行过程中生成以下盗号主程序,并且将该程序注入进程中:
%windir%system32MSDBRPTR32.dll
3、生成"%windir%system32Getspytype32_.ocx"文件,内容如下:
[MyIniStr]
strAspUrl=
strMailAddress=
strFmail=
strSmtp=
strMname=
strMpass=
strStname=
strQQmsg=
strMSmsg=
strStartBz=
strMailSize=
PassStrs=
strMmbwl2004=
4、添加如下相关注册表项:
[HKEY_CURRENT_USERSoftWareMicrosoftWindowsCurrentVersion]
"bwlpathb" = value
5、病毒运行过程中对应于不同的平台添加以下相关的注册表自启动项:
HKEY_CURRENT_USERSoftWareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonshell
HKEY_CLASSES_ROOTexefile\shell\open\command
6、病毒运行后在后台监视记录用户传奇游戏帐号密码信息,获取后将相关信息发送至病毒作者指定的网站或信箱。
