病毒名称:
win32.Troj.PSWRxjh.gf
类别: 木马病毒
病毒资料:
该病毒为Windows平台下专门针对热血江湖网络游戏的盗号特洛伊木马,病毒运行后将自身伪装成系统正常文件以迷惑用户,使用户更难以发觉。病毒利用系统钩子技术将主盗号模块注入游戏主程序,然后在后台监视、记录用户的游戏帐号、密码、角色装备、物品密码、用户机器名等信息,获取后将信息发送给病毒作者指定的地址。
同时病毒会利用网络进行病毒的自我升级。
病毒主要通过软件捆绑、其它病毒携带等方式进行传播。
1、病毒将自身复制为以下伪系统正常程序:
%Windir%\command\rundll32.exe
2、释放出"%Windir%\system32\dllz.dll"主盗号程序。
3、添加如下注册表项使病毒开机后自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"_rx" = "%Windir%\command\rundll32.exe"
4、病毒运行时终止以下相关反病毒软件进程:
KRegEx.exe
KVXP.KXP
KVMonXP.KXP
EGhost.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe
avp.exe
adam.exe
5、病毒还会通过枚举进程方式尝试终止盛大反木马工具。
6、病毒在Win9x系统下通过调用"RegisterServiceProcess"函数进行进程隐藏操作。
7、病毒利用钩子技术查找以下进程名的方式定位热血江湖网络游戏:
ybclient.exe
wsm.exe
8、找到热血江湖主程序后,病毒利用键盘、鼠标钩子技术、获取游戏角色、帐号、密码、物品密码等。
9、病毒成功获取用户游戏相关信息后发送游戏相关信息和用户机器名信息到以下地址:
http://www.18**.com/daniao/mail.ASP?tomail=wdo@163.com&mailbody=**
10、病毒有更新版本时,通过多钩子技术利用"Explorer"绕过网络防火墙的监视从而进行病毒的自我升级。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2006-9-10