病毒名称:
Trojan.PSW.SuperWay.d
类别: 木马病毒
病毒资料:
破坏方法:
盗游戏密码以及其它信息的病毒,可以盗取的游戏有:
传奇II
光通传奇III
天堂
奇迹
病毒采用MS Visual C++6.0编写,upx压缩,是一个偷游戏信息的木马。
病毒一旦执行,将复制自己到windows目录,注册为服务进程,并启动三个主要线程分别用来卸载钩子、复制自身和写注册表以使自己自启动、自动升级;
病毒的自启动方式为注册表自启动和在D:\盘和E:\根目录下建立一个autorun.inf文件,在这个文件中病毒建立一项[autorun]:open=d:\EXPlorer.exe
或
open=e:\Explorer.exe,这样当用户打开相应的驱动器时就会运行复制在此的病毒。
同时病毒释放一个动态链结库文件并加载之。加载后病毒将终止一些反病毒软件的执行;
该动态链结库文件即病毒的主要功能模块:
有两个导出函数,两个函数都是用来偷用户信息:
一个是设置钩子来盗“传奇II”的密码;
一个是病毒的主要功能实现函数,它创建六个线程:
线程1用来:获取传奇II的密码、用户信息;
线程2用来:取得游戏“传奇”的内部信息;
线程3用来:获取游戏“光通传奇III”的密码信息;
线程4用来:发送密码邮件到指定邮箱;
发送的邮箱是可配置的经过加密处理,此病毒中的邮箱解密后为:ttee7u7@163.net,病毒发送邮件的机理是模拟用户发送邮件的操作,使用POST、GET命令来完成,它首先连接一个设置好的网站的一个网页通过填写这个sendmail.ASP中的各项,比如:邮箱要发送地址、要发送的信息等来发送邮件。
与以前版本的病毒一样,除发送到此病毒的用户配置的邮箱外,病毒也将发送此邮件到病毒作者的邮箱。
线程5用来:获取游戏“天堂”密码信息;
线程6用来:自动从网站:up.superway.net升级,更新日期为:每月的1、5、10、15、20、25、30日
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-9-24
