订阅病毒名稱(中文):
傳奇盜號木馬90112
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
偷密碼的木馬
病毒長度:
90112
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是個針對網絡遊戲《熱血傳奇》的盜號木馬。該病毒運行後,複制自身到系統文件夾,然後注入到Windows登陸治理器的進程winlogon.exe中,通過對網絡數據的過濾來攔截《熱血傳奇》網遊的數據,從中盜取帳號信息。
1.複制文件:
%sys32dir\addrcqhelp.cfg
%sys32dir\addrcqhelp.dll
%sys32dir\qdshm.dll
其中addrcqhelp.cfg爲配置文件,qdshm.dll爲添加到SPI的主文件,
2.添加到到注冊表:
添加以下注冊表項,注冊爲SPI,隨系統開機啓動:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
\000000000012]
PackedCatalogItem="%sys32dir\qdshm.dll"
3.破壞方式
該木馬運行後,複制自身到系統文件夾,並且添加相關注冊表項,添加到套接字提供者接口(SPI),隨系統啓動後,注入到
winlogon.exe進程,查找網遊《熱血傳奇》的進程文件「mir1.dat」,通過消息鈎子攔截其網絡通信數據,找到用戶的帳號密碼
等信息,實現盜號的功能。
4.相關網址
http://2*8.7*.1*3.2*4
注:網址信息存儲在配置文件%sys32dir\addrcqhelp.cfg中
