病毒名称(中文):
魔戒木马16384
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
16384
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是网络游戏《魔戒》的盗号木马。病毒运行后会衍生病毒文件至系统目录下,并修改注册表启动项,使自己能随机启动。它会把截获到的账号信息通过网页提交的方式发送到木马种植者手上。
1.生成文件
%sys32dir%\ALMJ.exe
%sys32dir%\ALMJDLL.DLL
%sys32dir%\MJHOOK.DLL
2.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunALMJ"C:\WINDOWS\system32\ALMJ.exe"
3.病毒运行会把两个DLL文件注入到Explorer.exe进程和非系统进程当中.
4.病毒会利用消息钩子盗取用户的账号和密码等信息,并以网页提交的方式发送到以下的网址当中:
http://www.r*****oyuan.cn/duzui50w/50W/ie/post.asp
