病毒名称(中文):
网游盗号木马53248
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
53248
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游盗号木马,会盗取“浩方对战平台”、《彩虹岛》、《惊天动地》、《奇迹世界》的帐号信息,并把盗得的帐号信息发送到木马种植者指定的接收网址。
病毒运行后释放以下文件:
%systemroot%\Kvsc3.exe
%systemroot%\system32\Kvsc3.dll
枚举系统上的进程,如发现"Ravmon.exe"进程,则关闭该进程.
创建线程查找"AVP.AlertDialog"和"AVP.Product_Notification"并查找"瑞星注册表监控提示"窗口,如发现则模拟发送消息通过.
枚举系统进程,查找"explorer.exe"进程,并将病毒文件%systemroot%\system32\Kvsc3.dll注入该进程空间内.
病毒安装在系统上安装全局钩子,钩子类型为:WH_GETMESSAGE
判定病毒文件%systemroot%\system32\Kvsc3.dll是否注入到以下进程内:(如是则进行相关的盗取行为)
gameclient.exe
lataleclient.exe
cabalmain.exe
sungame.exe
病毒分别盗取系统上的浩方对战平台、网络游戏《彩虹岛》、《惊天动地》、《奇迹世界》的帐号信息,并把盗取所得的帐号信息发送到木马种植者指定的接收网址.
病毒添加注册表启动项:
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value:"Kvsc3"
Data:"%systemroot%\Kvsc3.exe"
盗取所得的帐号信息通过以下格式发送至木马种植者指定的接收网址