病毒名称(中文):
反杀软大话木马40960
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
40960
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是盗取《大话西游3》游戏帐号与密码等相关信息的木马。病毒通过监视用户鼠标动作的方法,窃取帐号信息并发送到木马传播者指定的接收地址。该病毒还会关闭杀软费尔、瑞星的进程。
1、病毒生成的文件:
"%SystemRoot\system32\dh3oor0.dll%"
"%SystemRoot\explorer.exe%"
2、病毒添加的注册表项:
HKEY_CLASSES_ROOT\CLSID\{A120A1D0-4F9B-A183-CBCC-78B27E4C1B5C}
daDllModuleName="%SystemRoot\system32\dh3oor0.dll%"
daExeModuleName="病毒源文件路径"
daSobjEventName="YUTDFGHKHCOOLDH3_0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A120A1D0-4F9B-A183-CBCC-78B27E4C1B5C}
daDllModuleName="%SystemRoot\system32\dh3oor0.dll%"
daExeModuleName="病毒源文件路径"
daSobjEventName="YUTDFGHKHCOOLDH3_0"
HKEY_CLASSES_ROOT\CLSID\{A120A1D0-CBCC-4F9B-A183-78B27E4C1B5C}\InprocServer32
默认=C:\WINDOWS\system32\dh3oor0.dll
ThreadingModel="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{A120A1D0-CBCC-4F9B-A183-78B27E4C1B5C}="hookdh33333"
3、发送的指定接收地址(以下仅供内部人员查看)
http://www.****8.org/oksend/
4、病毒运行之后会删除自身
5、dh3oor0.dll文件名的最后一个数字是以递增的方式取的,例如dh3oor0、dh3oor1....
6、关闭杀毒软件
FilMsg.exe
Twister.exe
RavMon.exe
