病毒名称(中文):
剑神兄弟木马
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
102753
影响系统:
Win9xWinNT
病毒行为:
该病毒伪装成某剑侠情缘外挂的安装程序,诱使用户运行该病毒(图1,欺骗网页),运行后会窃取用户的剑侠情缘online帐号的信息如帐号密码等,给感染用户带来损失。
(图2,在安装包中的病毒)
1、病毒运行后,将自身复制:
%SystemRoot%/inf/rundll32.exe
2、并释放如下文件:
%System%/jxdll.dll
3、在注册表中主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下键值:
"loadMejx"="%SYStemRoot%/inf/rundll32.exe"
3、病毒会尝试关闭如下进程
密码防盗专家
PasswordGuard.exe
天网防火墙个人版
天网防火墙企业版
噬菌体
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
4、监视是否有“剑侠情缘·网络版”运行的话,则监视用户的键盘记录
4、获得用户信息包括如下内容:
服务器:
用户名:
密码:
物品密码:
IP:
机器名:
5、将这些信息保存到
c:\gamejx.txt
文件中
6、以邮件的形式,发送到木马种植者手中