病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
10768
影响系统:
WinNTWin2000WinXP
病毒行为:
这是一个盗取网络游戏《征途》帐号信息的盗取木马.病毒会在系统文件夹下的system32目录释放用于盗号的病毒文件.该病毒文件注入explorer.exe进程.病毒会不断重写自身的注册表启动项.
运行后释放的病毒文件:
%systemroot%\system32\ztfree0.dll
病毒文件ztfree0.dll注入explorer.exe进程.
病毒不断重写注册表启动项,以防自身的启动项被删除,防止病毒在重启后不运行.
判定病毒文件是否注入到zhengtu.dat进程.如是,则开始进行盗号操作.(通过读取zhengtu.dat进程的内存盗取帐号信息)
病毒创建注册表:
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}ztDllModuleName"%systemroot%\system32\ztfree0.dll"
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}ztSobjEventName"PASDERQRSAEEAZT_0"
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}\InprocServer32@"%systemroot%\system32\ztfree0.dll"
病毒通过注册表创建自启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{E952B8F8-D91A-4EDD-851C-EE1A0F944469}"ztishook"
成功盗取网络游戏《征途》的帐号信息后,将盗取所得的信息发送到以下地址:
hxxp://www.we***.org/o***nd/zt/lin.asp?srv=?&id=?&p=?&s=?&ss=?&js=?&gj=?&dj=?&yz=?(锭)?(两)?(文)&pc=[用户的计算机名]