病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
135680
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取魔兽世界帐号的木马。病毒会添加系统服务随系统启动自动运行,并监视系统中的游戏进程,盗取帐号信息并提交到指定的网址。
1、病毒运行后释放如下病毒文件:
C:\nxldr.dat
C:\WINDOWS\system32\KB8964225.log
C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp
2、修改注册表,创建如下服务,以便随系统自动启动:
HKLM\System\CurrentControlSet\Services\NetWorkLogon
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Type"=0x110
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Start"=0x2
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ErrorControl"=0x0
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ImagePath"="rundll32.exeKB8964225.log,start"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"DisplayName"="NetworkLogon"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Security"=0x2001F
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ObjectName"="LocalSystem"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Description"="支持网络上计算机远程登陆事件。假如此服务被停用,网络登陆将不可用。假如此服务被禁用,任何依靠它的服务将无法启动。"
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"Type"=0x1
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"ErrorControl"=0x0
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"Start"=0x4
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"ImagePath"="\??\C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp"
3、插入conime.exe和ctfmon.exe进程,反复添加病毒服务。
4、监视系统中的游戏进程,若发现则读取帐号密码等相关信息并提交到指定的网址。