| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Wow.a

來源:互聯網  2008-08-14 22:19:40  評論

病毒名稱(中文):

魔獸世界木馬

病毒別名:

Trojan-Spy.Win32.Agent.ed[AVP]

威脅級別:

★★☆☆☆

病毒類型:

木馬程序

病毒長度:

92672

影響系統:

Win9xWinNT

病毒行爲:

該病毒,偷取魔獸世界網絡遊戲帳號密碼,並發送給木馬種植者。木馬運行後,將自己改名爲與系統程序接近的文件名:ctfmonn.exe(正常文件爲ctfmon.exe),以迷惑用戶。並且,木馬會反複設置啓動項,以防止用戶將其從啓動項中移除。

1、該木馬生成以下文件

%System%\ctfmonn.exe(木馬本身,92672字節)

%System%\pluswow.dll(163840字節)

%System%\ntsoi.dll(24576字節)

%System%表示系統目錄(如:C:\Windows\System32)

2、在注冊表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

添加

"plus"="%System%\ctfmonn.exe"

病毒會每兩秒設置該鍵一次,以防止用戶修改

3、嘗試在D、E、F盤下生成以下兩個文件

AutoRun.inf

kernel.exe

使得用戶雙擊盤符時,運行木馬

4、使用以下字符作爲互斥量,以保證只有一個進程運行

"rrrrrrrrrrrrwowyeah"

5、查找以下窗口和類

魔獸世界

GxWindowClassD3d

WSWINDOW

6、獲取鍵盤等信息,保存在一個名爲

"gbd"

的配置文件中

7、配置文件內容包括

區服:一區、二區、三區

鍵盤信息:如[End][Del]……

8、木馬會將配置文件發往以下IP地址中:

202.101.35.253

病毒名稱(中文): 魔獸世界木馬 病毒別名: Trojan-Spy.Win32.Agent.ed[AVP] 威脅級別: ★★☆☆☆ 病毒類型: 木馬程序 病毒長度: 92672 影響系統: Win9xWinNT 病毒行爲: 該病毒,偷取魔獸世界網絡遊戲帳號密碼,並發送給木馬種植者。木馬運行後,將自己改名爲與系統程序接近的文件名:ctfmonn.exe(正常文件爲ctfmon.exe),以迷惑用戶。並且,木馬會反複設置啓動項,以防止用戶將其從啓動項中移除。 1、該木馬生成以下文件 %System%\ctfmonn.exe(木馬本身,92672字節) %System%\pluswow.dll(163840字節) %System%\ntsoi.dll(24576字節) %System%表示系統目錄(如:C:\Windows\System32) 2、在注冊表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 添加 "plus"="%System%\ctfmonn.exe" 病毒會每兩秒設置該鍵一次,以防止用戶修改 3、嘗試在D、E、F盤下生成以下兩個文件 AutoRun.inf kernel.exe 使得用戶雙擊盤符時,運行木馬 4、使用以下字符作爲互斥量,以保證只有一個進程運行 "rrrrrrrrrrrrwowyeah" 5、查找以下窗口和類 魔獸世界 GxWindowClassD3d WSWINDOW 6、獲取鍵盤等信息,保存在一個名爲 "gbd" 的配置文件中 7、配置文件內容包括 區服:一區、二區、三區 鍵盤信息:如[End][Del]…… 8、木馬會將配置文件發往以下IP地址中: 202.101.35.253
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有