Win32.Troj.OnlineGames.ga.53248

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

网游盗号木马53248

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

偷密码的木马

病毒长度:

53248

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个网游盗号木马,会盗取“浩方对战平台”、《彩虹岛》、《惊天动地》、《奇迹世界》的帐号信息,并把盗得的帐号信息发送到木马种植者指定的接收网址。

病毒运行后释放以下文件:

%systemroot%\Kvsc3.exe

%systemroot%\system32\Kvsc3.dll

枚举系统上的进程,如发现"Ravmon.exe"进程,则关闭该进程.

创建线程查找"AVP.AlertDialog"和"AVP.Product_Notification"并查找"瑞星注册表监控提示"窗口,如发现则模拟发送消息通过.

枚举系统进程,查找"explorer.exe"进程,并将病毒文件%systemroot%\system32\Kvsc3.dll注入该进程空间内.

病毒安装在系统上安装全局钩子,钩子类型为:WH_GETMESSAGE

判定病毒文件%systemroot%\system32\Kvsc3.dll是否注入到以下进程内:(如是则进行相关的盗取行为)

gameclient.exe

lataleclient.exe

cabalmain.exe

sungame.exe

病毒分别盗取系统上的浩方对战平台、网络游戏《彩虹岛》、《惊天动地》、《奇迹世界》的帐号信息,并把盗取所得的帐号信息发送到木马种植者指定的接收网址.

病毒添加注册表启动项:

Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Value:"Kvsc3"

Data:"%systemroot%\Kvsc3.exe"

盗取所得的帐号信息通过以下格式发送至木马种植者指定的接收网址

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航