病毒名称(中文):
网游窃贼131072
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
131072
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网络游戏盗号木马变种。病毒运行后会复制自身至系统文件夹,注入桌面进程,查找查找《浩方游戏平台》、《剑侠情缘2》、《热血江湖》、《完美世界》等网络游戏的进程,假如存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息,然后将盗取信息发送至远程服务器。
1.生成文件
%windir%\cmdbcs.exe
%sys32dir%\cmdbcs.dll
2.生成注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runcmdbcs"%windir%\cmdbcs.exe"
3.注入桌面进程,查找浩方游戏平台“gameclient.exe”、剑侠情缘2“SO2Game.exe”、热血江湖“client.exe”等游戏进程
是否存在,假如存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息
4.查找网络游戏完美世界“ElementClientWindow”、“ZElementClientWindow”窗口是否存在,假如存在则通过读写
内存的方式盗取用户游戏帐号、密码、所在服务器等信息
5.将盗取的网络游戏帐号、密码、所在服务器等信息发送至以下网址
hxxp://j**.s****jj.com/cchh/lin.asp?s=%s&u=%s&p=%s&r=%s&l=%d&il=%s&sl=%s
hxxp://j**.s****jj.com/cchh/lin.asp?a=%s&s=%s&u=%s&p=%s&ks=sbe0&sp=%s&r=%s