病毒名称(中文):
病毒别名:
TrojanDownloader.Win32.Small.hf[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
69632
影响系统:
Win9xWinNT
病毒行为:
该病毒伪装成一个rar压缩包,一旦运行之后将释放一个DLL文件,然后修改注册表替换掉系统通信的DLL文件,截获并分析用户的传奇数据包,从而窃取用户的传奇帐号和密码。
1.释放文件:%system%\ws2_64.dll(Win32.Troj.Pasorot.k)。
2.修改注册表。
修改键值:
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\WinSock"1001"="%SystemRoot%\system32\msafd.dll"
"1002"="%SystemRoot%\system32\msafd.dll"
"1003"="%SystemRoot%\system32\msafd.dll"
"1004"="%SystemRoot%\system32\rsvpsp.dll"
"1005"="%SystemRoot%\system32\rsvpsp.dll"
"PathName"="C:\WINNT\System32\ws2_64.dll"
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001"PackedCatalogItem"="<%system%\ws2_64.dll...>"
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002"PackedCatalogItem"="<%system%\ws2_64.dll...>"
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003"PackedCatalogItem"="<%system%\ws2_64.dll...>"
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004"PackedCatalogItem"="<%system%\ws2_64.dll...>"
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005"PackedCatalogItem"="<%system%\ws2_64.dll...>"
3.通过将Sock函数对应的DLL替换成ws2_64.dll,截取数据包。然后分析数据包中的传奇密码数据修改用户传奇密码。
