病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
28761
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下专门用于盗取网络游戏"征途"帐号密码信息的木马,病毒运行后将自身复制到特定文件夹下,然后释放出盗号主程序,盗号主程序运行后监视收集用户游戏信息,同时病毒会监视用户用ie打开征途官方网站来记录游戏相关信息,导致用户帐号密码被盗.当网络资源可用时,病毒会尝试连接特定的网站进行病毒自动更新。
该病毒主要通过网络欺骗或软件捆绑方式进行传播。
1、病毒运行后复制自身为以下文件:
%SystemRoot%\Windows\inf\mutou.exe
c:\1.exe
操作完成后,生成并执行"病毒目录\delself.bat"文件,删除当前目录下的病毒程序。
2、病毒同时会释放出以下盗号主程序:
%SystemRoot%\Windows\inf\mutou.dll
3、病毒通过添加以下注册表项,使病毒开机后自动运行:
[HKEY_CLASSES_ROOT\CLSID\{4A6D4E96-7240-4D19-8654-E2F73B19F0E9}\InProcServer32]
@="C:\\WINDOWS\\inf\\mutou.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4A6D4E96-7240-4D19-8654-E2F73B19F0E9}"=""
4、网络状态可用时,病毒尝试连接以下网站更新病毒:
从以下网站上下载如下文件:
http://www.a**.net/file/1.txt
http://www.520**.cn/file/1.txt
http://www.aac**.com/file/1.txt
下载后保存为:%SystemRoot%\Windows\Down.exe
5、病毒运行过程中会根据不同的情况添加不同的注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft]
mutoums=
值为:"我爱北京天安门"、"征途选区"等等
6、通过查找窗体类方式来定位游戏主程序,找到游戏进程后,
病毒在后台记录用户游戏帐号、密码、选区等信息,收集后的信息发送至病毒作者指定的相关网站。
