病毒名称(中文):
传奇小偷180224
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
180224
影响系统:
WinNTWin2000WinXP
病毒行为:
这是一个针对网络游戏《热血传奇》的盗号木马。当它检测到《热血传奇》的窗口,就注入游戏进程,通过内存读取的方式窃取用户的帐号信息。
1.木马释放如下文件:
%systemRoot%\\IMG.exe
%systemRoot%\\235780MM.dll
2.添加如下注册表项,实现开机自启动
HEKY_LOCAL_MACHINE\SOFTWART\Macrosoft\Windows\CurrentVersion\Run
"WinSysM"@="%systemRoot%\\IMG.exe"
3.添加如下注册表项
HKEY_CURRENT_USER\SOFTWART\Macrosoft\Windows\ShellNoRoam\MUICache
"%systemRoot%\IGM.exe"@="IMG"
"%systemRoot%\sustem32\cmd.exe"@="WindowCommandProcessor"
HKEY_USERS\S-1-5-21-1229272821-1935655697-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache
"C:\\WINDOWS\\system32\\cmd.exe"@="WindowsCommandProcessor"
"C:\\WINDOWS\\IGM.exe"@="IGM"
