來源:互聯網網民 2008-08-14 22:19:40
評論病毒名稱(中文):
魔獸世界木馬
病毒別名:
Trojan-Spy.Win32.Agent.ed[AVP]
威脅級別:
★★☆☆☆
病毒類型:
木馬程序
病毒長度:
92672
影響系統:
Win9xWinNT
病毒行爲:
該病毒,偷取魔獸世界網絡遊戲帳號密碼,並發送給木馬種植者。木馬運行後,將自己改名爲與系統程序接近的文件名:ctfmonn.exe(正常文件爲ctfmon.exe),以迷惑用戶。並且,木馬會反複設置啓動項,以防止用戶將其從啓動項中移除。
1、該木馬生成以下文件
%System%\ctfmonn.exe(木馬本身,92672字節)
%System%\pluswow.dll(163840字節)
%System%\ntsoi.dll(24576字節)
%System%表示系統目錄(如:C:\Windows\System32)
2、在注冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
添加
"plus"="%System%\ctfmonn.exe"
病毒會每兩秒設置該鍵一次,以防止用戶修改
3、嘗試在D、E、F盤下生成以下兩個文件
AutoRun.inf
kernel.exe
使得用戶雙擊盤符時,運行木馬
4、使用以下字符作爲互斥量,以保證只有一個進程運行
"rrrrrrrrrrrrwowyeah"
5、查找以下窗口和類
魔獸世界
GxWindowClassD3d
WSWINDOW
6、獲取鍵盤等信息,保存在一個名爲
"gbd"
的配置文件中
7、配置文件內容包括
區服:一區、二區、三區
鍵盤信息:如[End][Del]……
8、木馬會將配置文件發往以下IP地址中:
202.101.35.253
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
病毒名稱(中文):
魔獸世界木馬
病毒別名:
Trojan-Spy.Win32.Agent.ed[AVP]
威脅級別:
★★☆☆☆
病毒類型:
木馬程序
病毒長度:
92672
影響系統:
Win9xWinNT
病毒行爲:
該病毒,偷取魔獸世界網絡遊戲帳號密碼,並發送給木馬種植者。木馬運行後,將自己改名爲與系統程序接近的文件名:ctfmonn.exe(正常文件爲ctfmon.exe),以迷惑用戶。並且,木馬會反複設置啓動項,以防止用戶將其從啓動項中移除。
1、該木馬生成以下文件
%System%\ctfmonn.exe(木馬本身,92672字節)
%System%\pluswow.dll(163840字節)
%System%\ntsoi.dll(24576字節)
%System%表示系統目錄(如:C:\Windows\System32)
2、在注冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
添加
"plus"="%System%\ctfmonn.exe"
病毒會每兩秒設置該鍵一次,以防止用戶修改
3、嘗試在D、E、F盤下生成以下兩個文件
AutoRun.inf
kernel.exe
使得用戶雙擊盤符時,運行木馬
4、使用以下字符作爲互斥量,以保證只有一個進程運行
"rrrrrrrrrrrrwowyeah"
5、查找以下窗口和類
魔獸世界
GxWindowClassD3d
WSWINDOW
6、獲取鍵盤等信息,保存在一個名爲
"gbd"
的配置文件中
7、配置文件內容包括
區服:一區、二區、三區
鍵盤信息:如[End][Del]……
8、木馬會將配置文件發往以下IP地址中:
202.101.35.253