病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
26220
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游魔兽世界盗号木马。病毒会释放dll文件注入到explorer.exe和WOW.exe进程,在内存中获取用户帐号的
相关信息,然后发送到网址http://xxx.***i_H**i/G***b.asp?处.
1.病毒运行后,生成以下病毒文件
%System32%\ydvkdshvky.dll(这个文件名是随机生成的,这个文件就是病毒本身)
2.该病毒运行成功后会自行删除源文件。
3.在注册表中添加了注册项,如下:
HKCR\CLSID\{383D0D27-789F-4543-9760-D4E199623476}\InProcServer32\(Default)"C:\WINDOWS\system32\ydvkdshvky.dll"
HKCR\CLSID\{383D0D27-789F-4543-9760-D4E199623476}\InProcServer32\ThreadingModel"Apartment"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{383D0D27-789F-4543-9760-D4E199623476}
4.病毒会首先寻找窗口"HM_MESSAGEDLL",看是否已经感染病毒,然后释放dll文件,将dll注入到explorer.exe进程中。
5.病毒会注入到WOW.exe进程中,在内存中获取用户帐号,财产的相关信息,然后发送到网址http://xxx.***i_H**i/G***b.asp?处
