Win32.PSWTroj.OnlineGames.eq.77824

病毒名稱(中文): 網遊大盜77824 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 77824 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個盜號木馬，它修改注冊表服務項，使自己能自動啓動。病毒服務啓動後，會將病毒文件注入到各進程，盜取《武林外傳》、《完美世界》、《誅仙》等網絡遊戲的帳號信息。 這是一個盜號木馬,通過在注冊表添加其服務啓動.服務啓動後會把病毒DLL文件注入到各進程,盜取網絡遊戲的帳號信息. 運行後釋放以下文件: %systemroot%\system32\gdwli32.dll %systemroot%\system32\gdwli32.cfg %systemroot%\system32\drivers\comint32.sys 病毒創建一線程不斷重寫注冊表服務項和病毒服務文件(comint32.sys)並啓動該服務.(病毒服務) 病毒DLL文件gdwli32.dll通過啓動其病毒服務注入各進程. 判定病毒DLL文件是否注入到ElementClient.exe進程.如是則讀取該進程目錄下的userdata\currentserver.ini文件,獲取用戶所在遊戲服務器的相關信息. 病毒會盜取系統上的網絡遊戲《武林外傳》等的帳號信息並發送到木馬種植者指定的接收網址. 創建注冊表服務項: Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\comint32 Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COMINT32 Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WL 把盜取所得的帳號信息以如下格式發送到木馬種植者指定的網址: hxxp://www.p**gl***o.com/wl/l**.asp?s=#***=#