病毒名称(中文):
网游盗号木马114688
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
114688
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马。病毒运行后,会在后台秘密监视用户打开的窗口,盗取《征途》、《大话西游》等多种流行网络游戏玩家的帐号、密码、装备等重要游戏资料,给玩家带来损失。
病毒运行后,自我复制到系统目录下。修改注册表,实现开机自动运行。在后台秘密监视用户打开的窗口,一旦发现用户打开网络游戏的登陆窗口,马上记录键盘和鼠标操作,盗取《征途》、《大话西游》等多种流行网络游戏玩家的帐号、密码、装备等重要游戏资料,给玩家带来损失。
1.生成文件
%Windir%\Web\printers\images\fsfwqads.dll
%Windir%\Web\printers\images\fsfwqads.exe
2.修改注册表,增加启动项.
HKEY_CLASSES_ROOT\CLSID\{BB500574-2A7D-488D-ABDA-DC3DE683913E}
HKEY_CLASSES_ROOT\CLSID\{BB500574-2A7D-488D-ABDA-DC3DE683913E}
@="OVHOOK"
HKEY_CLASSES_ROOT\CLSID\{BB500574-2A7D-488D-ABDA-DC3DE683913E}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{BB500574-2A7D-488D-ABDA-DC3DE683913E}\InProcServer32
@="C:\WINDOWS\Web\printers\images\fsfwqads.dll"
HKEY_CLASSES_ROOT\CLSID\{BB500574-2A7D-488D-ABDA-DC3DE683913E}\InProcServer32
ThreadingModel="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{BB500574-2A7D-488D-ABDA-DC3DE683913E}=""
3.病毒运行后会在后台秘密监视用户打开的窗口,一旦发现用户打开网络游戏的登陆窗口,马上记录键盘和鼠标操作,盗取《征途》、《大话西游》等多种流行网络游戏玩家的账号资料.
4.病毒运行后,会把DLL文件注入到Explorer.exe进程当中.
5.病毒会把载获到的资料以网页提交的形式发送到木马种植者手上.
