來源:互聯網網民 2008-08-14 22:46:26
評論病毒名稱(中文):
傳奇木馬變種CI
病毒別名:
威脅級別:
★★☆☆☆
病毒類型:
木馬程序
病毒長度:
71168
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
該病毒爲Windows平台下的專門針對于傳奇網絡遊戲的盜號型木馬,病毒運行後複制自身成僞系統正常文件,
然後利用鈎子技術將病毒代碼注入每一個進程中,發現傳奇網絡遊戲時,病毒利用鍵盤鈎子和鼠標鈎子記錄
用戶帳號、密碼、角色裝備信息,然後將信息發送給病毒作者。同時該病毒運行過程中嘗試通過網絡下載並
運行其它病毒。病毒運行過程中實時監視並關閉相關反病毒軟件。
病毒主要通過網絡欺騙和捆綁軟件方式進行傳播。
1、病毒運行後將自身複制爲以下僞系統正常文件:
%Windir%\_svchost_.exe
2、釋放出主盜號程序:
%Windir%\_msvc_.dll
3、添加如下注冊表項使病毒開機後自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe%Windir%\_svchost_.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"_System_Run"="%Windir%\_svchost_.exe"
4、在Win9x系統下病毒通過修改"Win.ini"文件的以下項目使病毒開機後自動運行:
[Windows]
Run=%Windir%\_svchost_.exe
5、病毒運行過程中會刪除以下注冊表項:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"sys_Runt1"=value
"sys_Runtt1"=value
6、枚舉系統中的進程列表,並終止以下相關反病毒軟件的進程:
kvp.kxp
KVMonXP.kxp
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
7、病毒查找到包含以下窗體名/類名的程序時,終止窗體對應的程序進程:
RavMonClass
天網防火牆個人版
天網防火牆企業版
噬菌體
TfLockDownMain
ZoneAlarm
ZAFrameWnd
8、在Win9x系統下病毒會嘗試調用"RegisterServiceProcess"api進行進程隱藏,使用戶不易發覺。
9、病毒運行過程中創建一個名爲"M1Class"的互斥對象進行檢查病毒是否已經運行。
10、網絡狀態可用時,病毒嘗試連接以下地址下載其它病毒:
http://www.a**.com/hehe/123.exe
http://www.ly****.com/www/1.exe
11、主盜號dll運行後將病毒代碼注入每個進程中,並通過鍵盤、鼠標鈎子技術記錄用戶遊戲帳號密碼信息,然後將信息發送給病毒作者。
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
病毒名稱(中文):
傳奇木馬變種CI
病毒別名:
威脅級別:
★★☆☆☆
病毒類型:
木馬程序
病毒長度:
71168
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
該病毒爲Windows平台下的專門針對于傳奇網絡遊戲的盜號型木馬,病毒運行後複制自身成僞系統正常文件,
然後利用鈎子技術將病毒代碼注入每一個進程中,發現傳奇網絡遊戲時,病毒利用鍵盤鈎子和鼠標鈎子記錄
用戶帳號、密碼、角色裝備信息,然後將信息發送給病毒作者。同時該病毒運行過程中嘗試通過網絡下載並
運行其它病毒。病毒運行過程中實時監視並關閉相關反病毒軟件。
病毒主要通過網絡欺騙和捆綁軟件方式進行傳播。
1、病毒運行後將自身複制爲以下僞系統正常文件:
%Windir%\_svchost_.exe
2、釋放出主盜號程序:
%Windir%\_msvc_.dll
3、添加如下注冊表項使病毒開機後自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe%Windir%\_svchost_.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"_System_Run"="%Windir%\_svchost_.exe"
4、在Win9x系統下病毒通過修改"Win.ini"文件的以下項目使病毒開機後自動運行:
[Windows]
Run=%Windir%\_svchost_.exe
5、病毒運行過程中會刪除以下注冊表項:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"sys_Runt1"=value
"sys_Runtt1"=value
6、枚舉系統中的進程列表,並終止以下相關反病毒軟件的進程:
kvp.kxp
KVMonXP.kxp
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
7、病毒查找到包含以下窗體名/類名的程序時,終止窗體對應的程序進程:
RavMonClass
天網防火牆個人版
天網防火牆企業版
噬菌體
TfLockDownMain
ZoneAlarm
ZAFrameWnd
8、在Win9x系統下病毒會嘗試調用"RegisterServiceProcess"api進行進程隱藏,使用戶不易發覺。
9、病毒運行過程中創建一個名爲"M1Class"的互斥對象進行檢查病毒是否已經運行。
10、網絡狀態可用時,病毒嘗試連接以下地址下載其它病毒:
http://www.a**.com/hehe/123.exe
http://www.ly****.com/www/1.exe
11、主盜號dll運行後將病毒代碼注入每個進程中,並通過鍵盤、鼠標鈎子技術記錄用戶遊戲帳號密碼信息,然後將信息發送給病毒作者。