病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
58368
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下专门针对传奇网络游戏的盗号型木马,病毒运行后将自身复制至系统目录下,并加入注册表自启动项,然后在后门监视用户游戏帐号、密码等信息,并将信息保存为系统目录下的特定文件,网络可用时病毒将相关信息发送给病毒作者,导致用户帐号密码丢失。
病毒主要通过网络欺骗方式进行传播。
1、病毒运行过程中判定自身是否为系统目录下的".exe"文件,不是则复制自身为以下文件:
%Windir%\system32\.exe
然后生成"deleteme.bat"文件,并删除以下注册表项,使其"deleteme.bat"可以正常运行:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
NoRealMode=value
2、病毒运行过程中生成以下盗号主程序,并且将该程序注入进程中:
%windir%\system32\MSDBRPTR32.dll
3、生成"%windir%\system32\Getspytype32_.ocx"文件,内容如下:
[MyIniStr]
strAspUrl=
strMailAddress=
strFmail=
strSmtp=
strMname=
strMpass=
strStname=
strQQmsg=
strMSmsg=
strStartBz=
strMailSize=
PassStrs=
strMmbwl2004=
4、添加如下相关注册表项:
[HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion]
"bwlpathb"=value
5、病毒运行过程中对应于不同的平台添加以下相关的注册表自启动项:
HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\shell
HKEY_CLASSES_ROOT\exefile\\shell\\open\\command
6、病毒运行后在后台监视记录用户传奇游戏帐号密码信息,获取后将相关信息发送至病毒作者指定的网站或信箱。
