病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
221184
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个传奇世界盗号木马,木马运行之后会遍历进程快照,假如发现存在doool.dat则将木马释放的动态链接库文件注入游戏的进程,盗取用户的游戏帐号信息
1.读取资源,创建文件c:\ProgramFiles\wis.exe
创建c:\Deleteme.bat,运行删除原病毒文件
2.wis.exe行为
读取资源创建文件%SystemRoot%\235780WL.dll
将自身复制到%SystemRoot%\swchost.exe,改属性为系统文件
运行swchost.exe,创建批处理文件,删除wis.exe
4.swchost.exe行为
添加自启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WinsysW"@="%SystemRoot%\swchost.exe"
搜索Woool.dat进程,若找到则将%SystemRoot%\235780WL.dll注入游戏进程
通过读取游戏内存的方式获取帐号信息
