病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
327680
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游盗号木马,并且会在系统留下后门,供黑客对感染机器上的信息进行盗取。该木马运行后,
在系统盘释放木马文件,并添加到系统服务设置为自动启动。劫持TCP数据,盗取玩家的密码帐号等网游信息,并
执行破解线程,对拦截的数据包进行破解。通过控TCP连接将盗取信息发送到远程主机。
1.木马运行后,产生以下两个名称具有伪装性质的病毒文件
%windows%\svchost.exe
%system32%\kernl32.exe
2.添加到系统服务,并设置启动类型为自动启动:
HKLM\System\CurrentControlSet\Services\kernl32,服务显示名称为:kernl32
指向%system32%\kernl32.exe文件
HKLM\System\CurrentControlSet\Services\svchost,服务显示名称为:svchost
指向%system32%\kernl32.exe文件
随后启动这两个服务。
添加的注册表项还包括:
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_KERNL32
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SVCHOST
以及一些子项,目的为添加系统服务并设置服务的属性。
3.拦截TCP数据,截获用户游戏信息,并在后台发送给控制端。
4.监听网络:kernl32.exe建立到远程主机的连接,svchost.exe会创建独立线程对端口数据进行监听,
并且接受控制端的指令,根据不同的指令消息,来进行盗取用户网游信息。
