Win32.Troj.PSWZhengTu.ar

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

28761

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为Windows平台下专门用于盗取网络游戏"征途"帐号密码信息的木马,病毒运行后将自身复制到特定文件夹下,然后释放出盗号主程序,盗号主程序运行后监视收集用户游戏信息,同时病毒会监视用户用ie打开征途官方网站来记录游戏相关信息,导致用户帐号密码被盗.当网络资源可用时,病毒会尝试连接特定的网站进行病毒自动更新。

该病毒主要通过网络欺骗或软件捆绑方式进行传播。

1、病毒运行后复制自身为以下文件:

%SystemRoot%\Windows\inf\mutou.exe

c:\1.exe

操作完成后,生成并执行"病毒目录\delself.bat"文件,删除当前目录下的病毒程序。

2、病毒同时会释放出以下盗号主程序:

%SystemRoot%\Windows\inf\mutou.dll

3、病毒通过添加以下注册表项,使病毒开机后自动运行:

[HKEY_CLASSES_ROOT\CLSID\{4A6D4E96-7240-4D19-8654-E2F73B19F0E9}\InProcServer32]

@="C:\\WINDOWS\\inf\\mutou.dll"

"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{4A6D4E96-7240-4D19-8654-E2F73B19F0E9}"=""

4、网络状态可用时,病毒尝试连接以下网站更新病毒:

从以下网站上下载如下文件:

http://www.a**.net/file/1.txt

http://www.520**.cn/file/1.txt

http://www.aac**.com/file/1.txt

下载后保存为:%SystemRoot%\Windows\Down.exe

5、病毒运行过程中会根据不同的情况添加不同的注册表信息:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft]

mutoums=

值为:"我爱北京天安门"、"征途选区"等等

6、通过查找窗体类方式来定位游戏主程序,找到游戏进程后,

病毒在后台记录用户游戏帐号、密码、选区等信息,收集后的信息发送至病毒作者指定的相关网站。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航