病毒名称(中文):
传奇盗号木马90112
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
90112
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个针对网络游戏《热血传奇》的盗号木马。该病毒运行后,复制自身到系统文件夹,然后注入到Windows登陆治理器的进程winlogon.exe中,通过对网络数据的过滤来拦截《热血传奇》网游的数据,从中盗取帐号信息。
1.复制文件:
%sys32dir\addrcqhelp.cfg
%sys32dir\addrcqhelp.dll
%sys32dir\qdshm.dll
其中addrcqhelp.cfg为配置文件,qdshm.dll为添加到SPI的主文件,
2.添加到到注册表:
添加以下注册表项,注册为SPI,随系统开机启动:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
\000000000012]
PackedCatalogItem="%sys32dir\qdshm.dll"
3.破坏方式
该木马运行后,复制自身到系统文件夹,并且添加相关注册表项,添加到套接字提供者接口(SPI),随系统启动后,注入到
winlogon.exe进程,查找网游《热血传奇》的进程文件“mir1.dat”,通过消息钩子拦截其网络通信数据,找到用户的帐号密码
等信息,实现盗号的功能。
4.相关网址
http://2*8.7*.1*3.2*4
注:网址信息存储在配置文件%sys32dir\addrcqhelp.cfg中