病毒名称(中文):
梦幻之盗15360
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
15360
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序。该病毒运行后,会从自身释放出病毒文件,并注入到services.exe或explorer.exe系统进程,以此来隐蔽自身,并从网络上下载盗号程序,来协助完成梦幻西游ONLINE的盗号工作。
1.病毒运行后,产生以下病毒文件
%windows%\system32\LYLOADER.EXE
%windows%\system32\MSDEG32.DLL
%windows%\system32\LYMANGR.DLL
%windows%\system32\Verify.exe
2.该病毒运行成功后,会自删除病毒源文件。
3.当病毒监测到有services.exe或explorer.exe进程时,便会创建远程线程(加载LYMANGR.DLL和MSDEG32.DLL)。
4.病毒添加了启动项(启动项是指随着系统启动而运行的程序)
启动项名:LYLoader.exe对应路径:%windows%\system32\LYLOADER.EXE
5.病毒还会根据IP从网络上下载病毒。
6.MSDEG32.DLL文件被注入到explorer.exe或services.exe进程后会搜索进程,查找是否有“梦幻西游”的进程,有则
通过Verify.exe病毒文件进行盗取操作。
7.具体发送的的帐号信息包含如下:
帐号,密码,区名,现金数,存银
8.所得到的梦幻西游帐号信息会被发送到以下网址
http://5****a.com/mh2007/post2007kj.asp
http://www.r****wd.com/cs03/post.asp