病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
33792
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取魔兽游戏帐号和密码的木马程序.
该病毒能释放病毒文件,修改注册表项,关闭大量安全软件;能自动查找魔兽的窗口,安装消息钩子,截获用户输入的信息,然后通过自带的smtp引擎发送到指定邮箱.该病毒还能从指定网地址下载病毒文件,并运行.该病毒有一个特点,必须重新启动机器后才能盗取魔兽密码,而且盗号功能只针对xp以上的系统.
1,释放文件到以下目录:
%system%\msdll.dll
%windows%%root%\ProgramFiles\svhost32.exe
2,增加注册表项:
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows"load"="%root%\ProgramFiles\svhost32.exe"
达到自启动的目的
3,关闭下列进程:
"RavMon.exe"
"天网防火墙个人版"
"天网防火墙企业版"
"TfLockDownMain"
"ZoneAlarm"
"噬菌体"
"ZAFrameWnd"
"EGHOST.EXE"
"MAILMON.EXE"
"KAVPFW.EXE"
"IPARMOR.EXE"
"Ravmon.EXE"
4,从下列地址下载病毒文件并运行:
http://www.abc.com/hehe/123.exe
5,修改wininit.ini文件,把病毒释放的dll以重命名的方式,替换掉一个系统文件.导致每次这个系统文件被掉用的时候,该带病的dll被调用.要利用这种方式,需要重新启动用户机器.
6,病毒释放的%system%\msdll.dll文件,是一个专门盗取魔兽游戏帐号和密码的病毒.该病毒能够安装消息钩子,自动查找魔兽游戏的窗口,记录用户输入的帐号和密码等信息,然后把病毒信息发送到指定的邮箱.
