病毒名称(中文):
盗号下载器4078
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
4078
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马下载器。该病毒运行后,会立即从网络上下载大量的病毒,盗取用户的游戏帐号。
1.病毒运行后
1>释放文件%tmp%\LYLOADER.EXE,并创建进程LYLOADER.EXE
2.LYLOADER.EXE运行后
1>删除原病毒
2>释放文件
%tmp%\LYMANGR.DLL
%systemroot%\system32\LYMANGR.DLL
%tmp%\MSDEG32.DLL
%systemroot%\system32\MSDEG32.DLL
3>添加注册表启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
4>注入DLL
将%systemroot%\system32\LYMANGR.DLL注入到SERVICES.EXE中,假如系统不存在SERVICES.EXE进程,则注入到EXPLORER.EXE中
3.LYMANGR.DLL在远程进程中运行后
1>下载病毒文件Verify.exe,并运行
2>假如找到MY.EXE进程,则将%systemroot%\system32\MSDEG32.DLL注入到MY.EXE中
4.Verify.exe运行后
1>释放文件%tmp%\LYLOADMR.EXE,并创建进程LYLOADMR.EXE
5.LYLOADMR.EXE运行后
1>删除Verify.exe
2>释放文件
%tmp%\SHQMANGR.DLL
%tmp%\SHQ.DLL
3>添加注册表启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
4>注入DLL
将%systemroot%\system32\SHQMANGR.DLL注入到SERVICES.EXE中,假如系统不存在SERVICES.EXE进程,则注入到EXPLORER.EXE中
6.SHQMANGR.DLL在远程进程中运行后
1>注入DLL
将%tmp%\SHQ.DLL注入到以下进程中,盗取游戏帐号,并通过提交表单的形式发送到病毒作者的网站
GAME.EXE
gameclient.exe
china_login.mpr
cq.exe
elementclient.exe
Conquer.exe
gc.exe
metin2.bin
HYO.exe
2>通过读写进程的内存,盗取游戏帐号