病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
25264
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个盗取用户网游《武林外传》帐号的木马。
1、释放盗号文件:%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\SysInfo.dll,并设置其为系统和隐藏属性。
2、添加以下注册表项来使病毒文件加载到其它进程中:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}""
HKCR\CLSID\{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}\(Default)""
HKCR\CLSID\{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}\InProcServer32\(Default)"%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\SysInfo.dll"
HKCR\CLSID\{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}\InProcServer32\ThreadingModel"Apartment"
3、创建消息钩子,通过判定加载病毒文件的进程名来定位到《武林外传》的登陆窗口,记录用户的帐号信息,然后发送到指定邮箱和网页。
4、自删除
