Win32.Troj.OnlineGames.ga.53248

2008-08-14 23:01:39  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名称(中文):

　　网游盗号木马53248

　　病毒别名:

　　

　　

　　威胁级别:

　　★☆☆☆☆

　　病毒类型:

　　偷密码的木马

　　病毒长度:

　　53248

　　影响系统:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行为:

　　这是一个网游盗号木马，会盗取“浩方对战平台”、《彩虹岛》、《惊天动地》、《奇迹世界》的帐号信息，并把盗得的帐号信息发送到木马种植者指定的接收网址。

　　病毒运行后释放以下文件:

　　%systemroot%\Kvsc3.exe

　　%systemroot%\system32\Kvsc3.dll

　　枚举系统上的进程,如发现"Ravmon.exe"进程,则关闭该进程.

　　创建线程查找"AVP.AlertDialog"和"AVP.Product_Notification"并查找"瑞星注册表监控提示"窗口,如发现则模拟发送消息通过.

　　枚举系统进程,查找"explorer.exe"进程,并将病毒文件%systemroot%\system32\Kvsc3.dll注入该进程空间内.

　　病毒安装在系统上安装全局钩子,钩子类型为:WH_GETMESSAGE

　　判定病毒文件%systemroot%\system32\Kvsc3.dll是否注入到以下进程内:(如是则进行相关的盗取行为)

　　gameclient.exe

　　lataleclient.exe

　　cabalmain.exe

　　sungame.exe

　　病毒分别盗取系统上的浩方对战平台、网络游戏《彩虹岛》、《惊天动地》、《奇迹世界》的帐号信息,并把盗取所得的帐号信息发送到木马种植者指定的接收网址.

　　病毒添加注册表启动项:

　　Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　Value:"Kvsc3"

　　Data:"%systemroot%\Kvsc3.exe"

　　盗取所得的帐号信息通过以下格式发送至木马种植者指定的接收网址

 

 

 

病毒名称(中文): 网游盗号木马53248 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 53248 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个网游盗号木马，会盗取“浩方对战平台”、《彩虹岛》、《惊天动地》、《奇迹世界》的帐号信息，并把盗得的帐号信息发送到木马种植者指定的接收网址。 病毒运行后释放以下文件: %systemroot%\Kvsc3.exe %systemroot%\system32\Kvsc3.dll 枚举系统上的进程,如发现"Ravmon.exe"进程,则关闭该进程. 创建线程查找"AVP.AlertDialog"和"AVP.Product_Notification"并查找"瑞星注册表监控提示"窗口,如发现则模拟发送消息通过. 枚举系统进程,查找"explorer.exe"进程,并将病毒文件%systemroot%\system32\Kvsc3.dll注入该进程空间内. 病毒安装在系统上安装全局钩子,钩子类型为:WH_GETMESSAGE 判定病毒文件%systemroot%\system32\Kvsc3.dll是否注入到以下进程内: (如是则进行相关的盗取行为) gameclient.exe lataleclient.exe cabalmain.exe sungame.exe 病毒分别盗取系统上的浩方对战平台、网络游戏《彩虹岛》、《惊天动地》、《奇迹世界》的帐号信息,并把盗取所得的帐号信息发送到木马种植者指定的接收网址. 病毒添加注册表启动项: Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Value:"Kvsc3" Data:"%systemroot%\Kvsc3.exe" 盗取所得的帐号信息通过以下格式发送至木马种植者指定的接收网址