patch - patch.exe -进程信息
进程文件: patch 或者 patch.exe
进程名称: Trend Micro Pc-Cillin Auto-Updater
描述:
patch.exe是趋势Trend Micro Pc-Cillin反病毒软件的一部分,用于保护你的计算机免受网络安全威胁。该进程用于自动升级。注意:patch.exe也可能是NETBUS病毒的一部分。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。
出品者: Trend Micro
属于: Trend Micro Internet Security Suite
系统进程: 否
后台程序: 否
使用网络: 是
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
广告软件: 否
木马: 否
patch.exe
Win32.PSWTroj.OnLineGames.ab.60928
病毒名称(中文):网游帐号贪吃蛇
60928
病毒别名:威胁级别:★☆☆☆☆
病毒类型:偷密码的木马病毒长度:60928
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个盗号木马程序。该程序首先会寻找含有“游戏”的窗口,然后建立消息监视程序,截获用户与网游服务器之间的网络数据包,从而盗取用户的帐号相关信息。
1.程序运行后,生成文件
%WINDOWS%System32xsbio.dll
%WINDOWS%System32patch.exe
2.在注册表中添加了注册项,如下:
HKEY_CLASSES_ROOTCLSID{71B3868A-D93C-49BF-AFEF-6B4536719A7E}InProcServer32
启动项名:@ 对应路径:"C:WINDOWSSystem32xsbio.dll"
HKEY_CLASSES_ROOTCLSID{71B3868A-D93C-49BF-AFEF-6B4536719A7E}InProcServer32
启动项名:ThreadingModel 对应值:"Apartment"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{71B3868A-D93C-49BF-AFEF-6B4536719A7E}InProcServer32
启动项名:@ 对应路径:"C:WINDOWSSystem32patch.exe"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{71B3868A-D93C-49BF-AFEF-6B4536719A7E}InProcServer32
启动项名:ThreadingModel 对应值:"Apartment"
3.木马会寻找互斥量"_MUTEX_AD_____LOADER ",用来判断是否已经有木马在运行;若没有则会创建文件,
调用xsbio.dll中的函数"JumpHookOn"开始工作。
4.木马会通过寻找含有"游戏"的窗口,然后截获网络数据包,从而盗取网游用户的帐号相关信息。
