病毒名稱(中文):
網遊盜號木馬57344
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
偷密碼的木馬
病毒長度:
57344
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個盜號木馬,它能夠盜取多個網絡遊戲的帳號信息,停止系統上某些指定的安全服務。此外,病毒還可通過查找窗口的方式關閉卡巴斯基的警告窗口。
運行後釋放以下病毒文件:
%systemroot%\MsIMMs32.exe
%systemroot%\system32\MsIMMs32.dll
創建注冊表啓動項:
Key:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Value:"MsIMMs32"
Data:"%systemroot%\MsIMMs32.exe"
運行後,病毒文件MsIMMs32.dll注入系統的explorer.exe進程.
停止系統上的以下服務:
KWatchSvc
KPfwSvc
McShield
DefWatch
kvsrvxp
McAfeeFramework
McTaskManager
NortonAntiVirusServer
查找"AVP.AlertDialog"窗口,如發現則發送關閉消息關閉此窗口.
病毒文件MsIMMs32.dll安裝全局鈎子,挂鈎類型爲:WH_GETMESSAGE
判定MsIMMs32.dll是否注入到以下進程:
gameclient.exe
LaTaleClient.exe
asktao.mod
cabalmain.exe
盜取系統上的《浩方對戰平台》、網絡遊戲《彩虹島》、《問道》、《驚天動地》的帳號信息並發送至木馬種植者指定的接收網址.
盜取所得的信息按以下格式發送至木馬種植者指定的網址:
http://www.3**678.cn/xxqq/wd/lin.asp?lk=##&a=##&s=##&u=##&p=##&sp=##&r=##&l=##&m=##&gc=##&sc=##
http://j*1.so****j.com/cchh/lin.asp?ks=sba5&a=##&s=##&u=##&p=##&sp=##&r=##