病毒名称(中文):
传奇木马变种CI
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
71168
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下的专门针对于传奇网络游戏的盗号型木马,病毒运行后复制自身成伪系统正常文件,
然后利用钩子技术将病毒代码注入每一个进程中,发现传奇网络游戏时,病毒利用键盘钩子和鼠标钩子记录
用户帐号、密码、角色装备信息,然后将信息发送给病毒作者。同时该病毒运行过程中尝试通过网络下载并
运行其它病毒。病毒运行过程中实时监视并关闭相关反病毒软件。
病毒主要通过网络欺骗和捆绑软件方式进行传播。
1、病毒运行后将自身复制为以下伪系统正常文件:
%Windir%\_svchost_.exe
2、释放出主盗号程序:
%Windir%\_msvc_.dll
3、添加如下注册表项使病毒开机后自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe%Windir%\_svchost_.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"_System_Run"="%Windir%\_svchost_.exe"
4、在Win9x系统下病毒通过修改"Win.ini"文件的以下项目使病毒开机后自动运行:
[Windows]
Run=%Windir%\_svchost_.exe
5、病毒运行过程中会删除以下注册表项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"sys_Runt1"=value
"sys_Runtt1"=value
6、枚举系统中的进程列表,并终止以下相关反病毒软件的进程:
kvp.kxp
KVMonXP.kxp
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
7、病毒查找到包含以下窗体名/类名的程序时,终止窗体对应的程序进程:
RavMonClass
天网防火墙个人版
天网防火墙企业版
噬菌体
TfLockDownMain
ZoneAlarm
ZAFrameWnd
8、在Win9x系统下病毒会尝试调用"RegisterServiceProcess"api进行进程隐藏,使用户不易发觉。
9、病毒运行过程中创建一个名为"M1Class"的互斥对象进行检查病毒是否已经运行。
10、网络状态可用时,病毒尝试连接以下地址下载其它病毒:
http://www.a**.com/hehe/123.exe
http://www.ly****.com/www/1.exe
11、主盗号dll运行后将病毒代码注入每个进程中,并通过键盘、鼠标钩子技术记录用户游戏帐号密码信息,然后将信息发送给病毒作者。
