病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
14481
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下专门针对于传奇网络游戏的以盗取用户游戏帐号密码为目的的特洛伊木马,病毒将自身伪装成系统正常文件,以迷惑用户;病毒运行时终止相关反病毒软件进程,并恶意删除反病毒软件服务,
病毒通过查找窗体的方式定位传奇游戏主窗体,然后在后台获取用户游戏帐号、密码等信息并通过网络将信息发送给病毒作者。同时网络可用时病毒连接特定的网站下载其它病毒。
病毒主要通过网络欺骗和捆绑软件方式进行传播。
1、病毒运行后装自身伪装成以下伪系统正常文件:
%Windir%\system32\winmer.exe
2、病毒运行过程中生成以下文件:
%Windir%\vbarun.dll(实际是一个配置文件)
%Windir%\system32\GroupPolicy\Machine\Scripts\scripts.ini
3、通过添加以下注册表项,实现病毒的开机自动运行:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"KernelCheck"="%Windir%\system32\winmer.exe"
4、病毒运行时添加以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft
5、病毒在Win9x系统中会利用"RegisterServiceProcess"函数进行病毒进程隐藏。
6、病毒运行时关闭包含以下相关窗体名对应的程序:
JiangminRegistryMonitorEx
KVXP_Monitor
木马防火墙
7、病毒通过枚举系统进程列表方式终止以下相关反病毒软件进程:
assistse.exe
kregex.exe
trojdie.kxp
kvsrvxp.exe
kvmonxp.kxp
frogagent.exe
kvxp.kxp
ccenter.exe
ravmond.exe
ravmon.exe
rfwmain.exe
rfwsrv.exe
kpfwsvc.exe
kavpfw.exe
kavstart.exe
kmailmon.exe
kwatch.exe
avp.exe
kav.exe
kavsvc.exe
rtvscan.exe
ccsetmgr.exe
defwatch.exe
ccevtmgr.exe
ccapp.exe
mcshield.exe
mcvsescn.exe
mcdetect.exe
mcmnhdlr.exe
trojanwall.exe
fygtcleaner.exe
mantispm.exe
vsmon.exe
isafe.exe
zlclient.exe
pcclient.exe
pcctlcom.exe
tmpfw.exe
tmntsrv.exe
tmproxy.exe
pccguide.exe
iparmor.exe
xfilter.exe
filmsg.exe
avengine.exe
pavsrv51.exe
psimsvc.exe
pavprsrv.exe
tpsrv.exe
pavprsrv.exe
apvxdwin.exe
srvload.exe
webproxy.exe
8、病毒通过枚举服务列表的方式删除以下反病毒软件服务:
KVSrvXP
KVWSC
KWatchSvc
KPfwSvc
AVP
kavsvc
RsCCenter
McTskshd.exe
McDetect.exe
CAISafe
vsmon
Tmntsrv
PcCtlCom
TmPfw
tmproxy
pmshellsrv
PAVSRV
PAVFNSVR
PSIMSVC
PNMSRV
PavPrSrv
TPSrv
9、病毒同时会关闭窗体类名为"AVP.CloseRequestDialog"的程序进程。
10、病毒通过查找窗体名为"传奇世界"和窗体类名为"GAMECLIENT"的方式定位传奇游戏进程。
11、找到传奇游戏进程后病毒通过读取传奇游戏进程信息的方式在后台记录用户游戏帐号、密码、角色性质、角色性别、所属区域、角色装备等信息。
12、成功获取相关信息后病毒将信息发送至以下网站:
发送地址:http://www.3721***.com/work.asp
传送方式:POST
传送数据:gameid=****&quyu=%s&password=****&js1=****&js1zy=****&js1dj=****&js2=****&js2zy=%s&js2dj=%d&map=%s&yuanBao=%d&zb=[08.12]bao(%d)time(%s)Ver(%s):****&pcname=计算机名&sys=操作系统&csServer=****
13、病毒同时会通过网络下载以下病毒程序:
http://www.3721***.com/nc.gif
http://www.3721***.com/m.gif