病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
21304
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取网游"霸王"的游戏木马,它能盗取游戏的帐号与密码,并发送到木马种植者的网址上。
1:拷贝与释放文件
病毒被运行后,会把自己拷贝到以下地方
c:\Windows\inf\mybw.exe
并会释放另一个病毒文件(Win32.Troj.PswBawang.a.30297)
c:\Windows\inf\mybw.dll
2:更改注册表
病毒会添加(更改)以下三处注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{966700B6-6C72-4E2A-96DE-EDCFC1979AAD}
HKCR\CLSID\{966700B6-6C72-4E2A-96DE-EDCFC1979AAD}\InProcServer32(Default)->"C:\WINDOWS\inf\mybw.dll"
HKCR\CLSID\{966700B6-6C72-4E2A-96DE-EDCFC1979AAD}\InProcServer32ThreadingModel->"Apartment"
这使得病毒能随Explorer进程启动
因为病毒注入了这两个进程,而Explorer进程是随着Windows而启动的,所以病毒也能随Windows
启动。
3:删除自己
病毒会在同一目录下创建一个delself.bat的文件
写入删除命令,并执行该文件删除病毒体。
4:获取并发送帐号与密码
插入了Explorer.exe进程的病毒(mybw.dll)会寻找网游"霸王"的游戏窗口,
一但发现,刚用消息钩子读取用户输入游戏的帐号与密码,并记录下来,
保存为c:\记事本.txt文件,并把该文件发送到木马种植者的网址上去,
使用户的游戏帐号与密码丢失。
