病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
124928
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为windows平台下专门针对天堂网络游戏的特洛伊木马,病毒运行后将自身伪装成系统正常程序,利用注入技术监视天堂网络游戏,并记录游戏的帐号、密码、角色装备等信息,同时病毒运行中会终止常见的反病毒软件。
病毒主要通过网络欺骗、软件捆绑,其它病毒携带等方式进行传播。
1、病毒运行后将自身复制为伪系统正常文件:
%Windir%\system32\explorer.exe
%Windir%\rundll32.exe
%Windir%\Internat.exe
2、释放出以下主盗号程序:
%Windir%\system32\dab1.dll
%Windir%\system\micro.dll
3、病毒运行过程中生成以下临时文件:
c:\gameab1.txt
4、病毒修改以下注册表项使病毒开机后自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Userinit"="%Windir%\system32\userinit.exe,%Windir%\System32\explorer.exe"
假如是Win9x则病毒通过修改Win.ini文件使病毒开机后自动运行
5、病毒运行过程中会实时监视并终止以下相关反病毒软件进程:
RavMon.exe
EGhost.exe
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
6、病毒会关闭窗体类名为"RavMonClass"的程序。
7、病毒利用注入技术将病毒代码注入每个进程中,然后通过判定主程序名为"Lineage.exe"
的方法定位天堂游戏,病毒还会通过查找窗体名为"LineageWindowsClient"的方式定位天堂游戏。
8、用户开启天堂游戏后,病毒在后台记录用户的游戏帐号、密码、角色装备、装备密码等信息,成功
获取用户游戏帐号密码信息后发送至以下地址:
http://www.cm***.net/use/mail.asp?tomail=wdo@www***.com&mailbody=
