病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
33322
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个传奇世界盗号木马而且会盗窃梦幻西游ONLINE的帐号,该木马会监控传奇世界和梦幻西游ONLINE登陆窗口,记录用户输入的信息,并且把截获的信息发送到固定网址,并且会修改计算机上大量的文件关联,对用户正常使用计算机带来很大的不便,对用户带来极大损失.
1.生成文件:
C:\ProgramFiles\CommonFiles\iexplore.pif
C:\ProgramFiles\InternetExplorer\iexplore.com
%systemroot%\1.com
%systemroot%\ExERoute.exe
%systemroot%\explorer.com
%systemroot%\finder.com
%systemroot%\services.exe
%systemroot%\Debug\DebugProgram.exe
%system%\command.pif
%system%\dxdiag.com
%system%\finder.com
%system%\MSCONFIG.COM
%system%\regedit.com
%system%\rundll32.com
2.在系统中的每个分区底下生成以下文件,使打开改磁盘的时候就运行病毒:
autorun.inf
pagefile.pif
3.添加起始项,使病毒开机启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
TorjanProgram
"services.exe"
4.修改以下文件关联项:
HKLM\SOFTWARE\Classes\cplfile\shell\cplopen\command
HKLM\SOFTWARE\Classes\dunfile\shell\open\command
HKLM\SOFTWARE\Classes\file\shell\open\command
HKLM\SOFTWARE\Classes\htmlfile\shell\print\command
HKLM\SOFTWARE\Classes\inffile\shell\Install\command
HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command
HKLM\SOFTWARE\Classes\scrfile\shell\install\command
HKLM\SOFTWARE\Classes\scriptletfile\Shell\GenerateTypelib\command
HKLM\SOFTWARE\Classes\telnet\shell\open\command
HKLM\SOFTWARE\Classes\Unknown\shell\openas\command
将以上的文件关联到病毒文件.
5.搜索含有以下字符的进程并且结束掉:
RAV*
KAV*
KWATCH*
KPOP*
CCENTER*
ASSISTSE*
KPFWSVC*
AGENTSVR*
KV*
KREG*
IEFIND*
IPARMOR*
UPHC*
RULEWIZE*
RFWMA*
FYGT*
PFW*
SVI.EXE
6.把盗取的用户敏感信息发送到以下地址:
http://account.etsoft.com.cn/***/information.asp?UID=***
