病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
46592
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗取传奇及三国群英传游戏用户名和密码的木马病毒。该病毒运行后,拷贝自身到系统目录,并添加启动项,达到随开机启动的辑器;该病毒通过查找“传奇客户端”、“三国群英传”的窗口,读取进程内存来盗取帐号密码,并将盗取的号码发送到指定网址的指定文件。
1,生成文件
%windows%\MsVM_STI.EXE
%windows%\explorer.exe
2,添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"MsAudio"="%windows%\MsVM_STI.EXERunDll32cmicnfg.cpl,CMICtrlWnd"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"MsAudio"="%windows%\explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr"=1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"Disableregistrytools"=1
3,结束下列防火墙进程
PFW.EXE
EGHOST.EXE
Iparmor.exe
MAILMON.EXE
VPC32.exe
4,盗取下列游戏的帐号密码
传奇
三国群英传
5,将盗取的内容上传到下列网址
http://c**t.o**r.net/ch**ss.asp
