病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
15360
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马程序。病毒运行后会释放病毒文件至系统文件夹和临时文件夹,并生成大量启动项,以开机自启动。病毒注入进程,通过读写内存的方式盗取网络游戏梦幻西游用户信息,如服务器、帐号、密码、pin码、角色、装备等,发送至远程服务器,请广大用户注重保护好自己的游戏帐号。
1.生成文件
%temp%\LYLOADER.EXE
%temp%\LYMANGR.DLL
%temp%\MSDEG32.DLL
%sys32dir%\LYLOADER.EXE
%sys32dir%\LYMANGR.DLL
%sys32dir%\MSDEG32.DLL
使用批处理删除自身
2.生成注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDEG32"LYLoader.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDWG32"LYLoadbr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDCG32"LYLeador.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDOG32"LYLoador.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDSG32"LYLoadar.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDMG32"LYLoadmr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDHG32"LYLoadhr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDQG32"LYLoadqr.exe"
3.注入进程,通过读写内存的方式盗取网络游戏梦幻西游用户信息,发送至远程服务器
hxxp://www.zitianqq.cn/xiaozhu/mh19/post2007asp.asp
hxxp://zitianqq.cn/xiaozhu/mh19/post2007asp.asp
hxxp://5151la.com/mh2007/post2007kj.asp
hxxp://www.5151la.com/mh2007/post2007kj.asp
hxxp://www.raceswd.com/cs03/post.asp?server=%s&gameid=%s&pass=%s&pin=%s&wupin=%s&role=%s&equ=
