來源:互聯網網民 2008-08-14 22:45:00
評論病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
135680
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個盜取魔獸世界帳號的木馬。病毒會添加系統服務隨系統啓動自動運行,並監視系統中的遊戲進程,盜取帳號信息並提交到指定的網址。
1、病毒運行後釋放如下病毒文件:
C:\nxldr.dat
C:\WINDOWS\system32\KB8964225.log
C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp
2、修改注冊表,創建如下服務,以便隨系統自動啓動:
HKLM\System\CurrentControlSet\Services\NetWorkLogon
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Type"=0x110
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Start"=0x2
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ErrorControl"=0x0
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ImagePath"="rundll32.exeKB8964225.log,start"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"DisplayName"="NetworkLogon"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Security"=0x2001F
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ObjectName"="LocalSystem"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Description"="支持網絡上計算機遠程登陸事件。假如此服務被停用,網絡登陸將不可用。假如此服務被禁用,任何依靠它的服務將無法啓動。"
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"Type"=0x1
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"ErrorControl"=0x0
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"Start"=0x4
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"ImagePath"="\??\C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp"
3、插入conime.exe和ctfmon.exe進程,反複添加病毒服務。
4、監視系統中的遊戲進程,若發現則讀取帳號密碼等相關信息並提交到指定的網址。
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
135680
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個盜取魔獸世界帳號的木馬。病毒會添加系統服務隨系統啓動自動運行,並監視系統中的遊戲進程,盜取帳號信息並提交到指定的網址。
1、病毒運行後釋放如下病毒文件:
C:\nxldr.dat
C:\WINDOWS\system32\KB8964225.log
C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp
2、修改注冊表,創建如下服務,以便隨系統自動啓動:
HKLM\System\CurrentControlSet\Services\NetWorkLogon
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Type"=0x110
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Start"=0x2
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ErrorControl"=0x0
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ImagePath"="rundll32.exeKB8964225.log,start"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"DisplayName"="NetworkLogon"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Security"=0x2001F
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ObjectName"="LocalSystem"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Description"="支持網絡上計算機遠程登陸事件。假如此服務被停用,網絡登陸將不可用。假如此服務被禁用,任何依靠它的服務將無法啓動。"
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"Type"=0x1
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"ErrorControl"=0x0
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"Start"=0x4
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"ImagePath"="\??\C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp"
3、插入conime.exe和ctfmon.exe進程,反複添加病毒服務。
4、監視系統中的遊戲進程,若發現則讀取帳號密碼等相關信息並提交到指定的網址。