病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
20480
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个盗取用户魔兽世界帐号的木马。
1、添加如下注册表项使病毒自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TimerService"%当前病毒文件全路径%"
2、通过查询注册表项:SOFTWARE\BlizzardEntertainment\WorldofWarcraft\InstallPath来获得魔兽世界的安装路径,在该路径下搜索名为realmlist.wtf的文件,
判定该文件中是否有以下字符串来确定是否为国服一到六区的帐号,有则盗取帐号:
SETrealmlist"cn1.grunt.wowchina.com"
SETrealmlist"cn2.grunt.wowchina.com"
SETrealmlist"cn3.grunt.wowchina.com"
SETrealmlist"cn4.grunt.wowchina.com"
SETrealmlist"cn5.grunt.wowchina.com"
SETrealmlist"cn6.grunt.wowchina.com"
3、创建一个全局消息钩子WM_JOURNALRECORD,通过钩子函数来截获系统消息,获得当前窗口,判定是否为魔兽世界窗口,是则获得窗口内容进行盗号。
4、将获得的魔兽世界帐号发送到指定的网页:http://ms.ye***.cn/ms/login.asp
5、由于对截获的消息处理不当,用户中毒后会出现鼠标和键盘使用失灵的状况。