病毒名称(中文):
网游大盗77824
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
77824
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马,它修改注册表服务项,使自己能自动启动。病毒服务启动后,会将病毒文件注入到各进程,盗取《武林外传》、《完美世界》、《诛仙》等网络游戏的帐号信息。
这是一个盗号木马,通过在注册表添加其服务启动.服务启动后会把病毒DLL文件注入到各进程,盗取网络游戏的帐号信息.
运行后释放以下文件:
%systemroot%\system32\gdwli32.dll
%systemroot%\system32\gdwli32.cfg
%systemroot%\system32\drivers\comint32.sys
病毒创建一线程不断重写注册表服务项和病毒服务文件(comint32.sys)并启动该服务.(病毒服务)
病毒DLL文件gdwli32.dll通过启动其病毒服务注入各进程.
判定病毒DLL文件是否注入到ElementClient.exe进程.如是则读取该进程目录下的userdata\currentserver.ini文件,获取用户所在游戏服务器的相关信息.
病毒会盗取系统上的网络游戏《武林外传》等的帐号信息并发送到木马种植者指定的接收网址.
创建注册表服务项:
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\comint32
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COMINT32
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WL
把盗取所得的帐号信息以如下格式发送到木马种植者指定的网址:
hxxp://www.p**gl***o.com/wl/l**.asp?s=#***=#