病毒名称(中文):
传奇木马
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
39479
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:BorlandDelphi6.0-7.0用UPX进行压缩。
传染条件:网络下载
发作条件:用户进行传奇网络游戏时
系统修改:
A、木马运行后会将自身复制到系统目录下:
%System%svch0st_.exe
B、1、在注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加如下键值:
"svch0st_.exe"="svch0st_.exe"
2、在注册表主键:
SOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon
修改为如下键值:
"Shell"="Explorer.exesvch0st_.exe"
发作现象:
A、当用户打开游戏后,木马合记录传奇游戏的相关信息,并将信息以下面的格式发送到脚本网页中:
http://IP地址?Tomail=&gameid=&password=&quyu=&mirserver=&js1=&js1sex=&js1zy=&js1dj=&js2=&js2sex=&js2zy=&js2dj=&js2dj=
再由网页转发邮件
B、木马假如发现如下窗口存在则关闭这些程序
SymantecAntiVirus企业版
江民杀毒软件KV2004:实时监视
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
天网防火墙个人版
非凡说明:
