病毒名称(中文):
传奇木马
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
172032
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为windows平台下专门针对传奇游戏、盗取用户游戏帐号密码、角色等信息的木马。木马通过多进程守护、隐藏进程技术隐藏病毒。成功获取密码相关信息后,发送到作者指定的网站。
病毒主要能过捆绑软件或欺骗方式进行感染。
1、病毒运行后在Windows目录下释放以下几个文件:
%windir%\Carss.exe
%windir%\winhIp32.exe
%WinDir%\winsvc.exe
%Windir%\Wininit.dll
2、各文件功能如下:
%windir%\Carss.exe;负责生成windir%\winhIp32.exe和%WinDir%\winsvc.exe文件
%windir%\winhIp32.exe;用于监视Carss.exe是否已经运行
%WinDir%\winsvc.exe;病毒自启动程序、加载病毒体程序,同时释放出%Windir%\Wininit.dll
%Windir%\Wininit.dll;主要监视获取传奇游戏帐号密码等信息
3、病毒同时写入以下注册表项,使病毒开机时自动启动:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"winsvc.exe"="winsvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell"="Explorer.exeC:\\WINNT\\winsvc.exe"
4、病毒运行后查找Explorer窗体,然后注入Wininit.dll的代码。
5、获取到用户相关信息后,通过连接以下网站,发送盗取成功的信息:
http://www.****y.com/mail/login.asp