Win32.PSWTroj.WOW.fa

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

20480

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是个盗取用户魔兽世界帐号的木马。

1、添加如下注册表项使病毒自启动:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TimerService"%当前病毒文件全路径%"

2、通过查询注册表项:SOFTWARE\BlizzardEntertainment\WorldofWarcraft\InstallPath来获得魔兽世界的安装路径,在该路径下搜索名为realmlist.wtf的文件,

判定该文件中是否有以下字符串来确定是否为国服一到六区的帐号,有则盗取帐号:

SETrealmlist"cn1.grunt.wowchina.com"

SETrealmlist"cn2.grunt.wowchina.com"

SETrealmlist"cn3.grunt.wowchina.com"

SETrealmlist"cn4.grunt.wowchina.com"

SETrealmlist"cn5.grunt.wowchina.com"

SETrealmlist"cn6.grunt.wowchina.com"

3、创建一个全局消息钩子WM_JOURNALRECORD,通过钩子函数来截获系统消息,获得当前窗口,判定是否为魔兽世界窗口,是则获得窗口内容进行盗号。

4、将获得的魔兽世界帐号发送到指定的网页:http://ms.ye***.cn/ms/login.asp

5、由于对截获的消息处理不当,用户中毒后会出现鼠标和键盘使用失灵的状况。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航