病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
11616
影响系统:
Win9xWinNT
病毒行为:
这是一个网络游戏盗号木马。病毒运行后先将自身复制至系统文件夹,然后释放病毒文件,生成启动项,注入桌面进程,监控网络游戏大话西游进程是
否存在,存在则开始盗取内存中用户帐号和密码信息,然后发送至远程服务器。
另外,该病毒还会破坏LSP网络协议链,强制删除病毒文件可能造成用户无法上网。
1.病毒运行后将自身复制至
%sys32dir%\AVPDH.EXE
并释放以下文件
%sys32dir%\AVPDH.DAT
%sys32dir%\mscomm.dll
%sys32dir%\mssock.sys
最后用批处理删除自身
2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunAVPDH"%sys32dir%\AVPDH.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000012
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000013
3.修改注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\00000000001
~
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011
4.破坏LSP网络协议链,强制删除病毒文件可能造成用户无法上网
5.注入桌面进程,盗取网络游戏大话西游用户帐号密码,然后发送至远程服务器
hxxp://www.wmpxx.com/begin/dh6548/mibao.asp?a=%s&s=%s&u=%s&p=%s&pin=%s&r=%s&l=%d&m=%d&mb=%d
