Win32.PSWTroj.OnlineGames.90112

2008-08-14 23:01:37  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名称(中文):

　　传奇盗号木马90112

　　病毒别名:

　　

　　

　　威胁级别:

　　★☆☆☆☆

　　病毒类型:

　　偷密码的木马

　　病毒长度:

　　90112

　　影响系统:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行为:

　　这是个针对网络游戏《热血传奇》的盗号木马。该病毒运行后，复制自身到系统文件夹，然后注入到Windows登陆治理器的进程winlogon.exe中，通过对网络数据的过滤来拦截《热血传奇》网游的数据，从中盗取帐号信息。

　　1.复制文件：

　　%sys32dir\addrcqhelp.cfg

　　%sys32dir\addrcqhelp.dll

　　%sys32dir\qdshm.dll

　　其中addrcqhelp.cfg为配置文件，qdshm.dll为添加到SPI的主文件，

　　2.添加到到注册表：

　　添加以下注册表项，注册为SPI，随系统开机启动：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries

　　\000000000012]

　　PackedCatalogItem="%sys32dir\qdshm.dll"

　　3.破坏方式

　　该木马运行后，复制自身到系统文件夹，并且添加相关注册表项，添加到套接字提供者接口（SPI），随系统启动后，注入到

　　winlogon.exe进程，查找网游《热血传奇》的进程文件“mir1.dat”，通过消息钩子拦截其网络通信数据，找到用户的帐号密码

　　等信息，实现盗号的功能。

　　4.相关网址

　　http://2*8.7*.1*3.2*4

　　注：网址信息存储在配置文件%sys32dir\addrcqhelp.cfg中

 

 

 

病毒名称(中文): 传奇盗号木马90112 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 90112 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是个针对网络游戏《热血传奇》的盗号木马。该病毒运行后，复制自身到系统文件夹，然后注入到Windows登陆治理器的进程winlogon.exe中，通过对网络数据的过滤来拦截《热血传奇》网游的数据，从中盗取帐号信息。 1.复制文件： %sys32dir\addrcqhelp.cfg %sys32dir\addrcqhelp.dll %sys32dir\qdshm.dll 其中addrcqhelp.cfg为配置文件，qdshm.dll为添加到SPI的主文件， 2.添加到到注册表： 添加以下注册表项，注册为SPI，随系统开机启动： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries \000000000012] PackedCatalogItem="%sys32dir\qdshm.dll" 3.破坏方式 该木马运行后，复制自身到系统文件夹，并且添加相关注册表项，添加到套接字提供者接口（SPI），随系统启动后，注入到 winlogon.exe进程，查找网游《热血传奇》的进程文件“mir1.dat”，通过消息钩子拦截其网络通信数据，找到用户的帐号密码 等信息，实现盗号的功能。 4.相关网址 http://2*8.7*.1*3.2*4 注：网址信息存储在配置文件%sys32dir\addrcqhelp.cfg中