Win32.Troj.Game.mu

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

92261

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是一个盗取多款网游帐号的木马,病毒运行后会释放多个自身拷贝到硬盘中。此外,病毒会修改系统中.exe,.html文件的默认文件关联使用户无意中运行病毒;病毒会添加注册表项实现开机自启动。病毒会查找网游窗口,记录键盘信息,发送到指定邮箱。

1、病毒运行后会拷贝自身到如下目录:

c:\windows\lsass.exe

C:\ProgramFiles\InternetExplorer\INTEXPLORE.com

C:\ProgramFiles\CommonFiles\INTEXPLORE.pif

C:\windows\EXERT.EXE

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\regedit.com

C:\WINDOWS\Debug\DebugProgram.exe

2、修改.exe、.html、文件关联,当该类型文件被运行时会运行病毒文件;

[HKCR\Applications\iexplore.exe\shell\open\command]

"(Default)"=""C:\ProgramFiles\InternetExplorer\INTEXPLORE.com"%1"

[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]

"(Default)"="C:\ProgramFiles\InternetExplorer\INTEXPLORE.com"

[HKCR\htmlfile\shell\opennew\command]

"(Default)"="C:\ProgramFiles\common~1\INTEXPLORE.pif"%1"

[HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]

"ToP"="C:\WINDOWS\LSASS.exe"

[HKCR\WindowFiles\shell\open\command]

"(Default)"="C:\WINDOWS\EXERT.exe"%1"%*"

删除如下注册表项:

[HKLM\System\CurrentControlSet\Services\TrkWks\Parameters\NextVolInfrequentTask]

3、安装键盘和鼠标钩子,查找游戏窗口并记录键盘信息。

4、发送信息到指定的邮箱。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航