Win32.Troj.OnlineGames.ga.53248

2008-08-14 23:01:39  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名稱(中文):

　　網遊盜號木馬53248

　　病毒別名:

　　

　　

　　威脅級別:

　　★☆☆☆☆

　　病毒類型:

　　偷密碼的木馬

　　病毒長度:

　　53248

　　影響系統:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行爲:

　　這是一個網遊盜號木馬，會盜取「浩方對戰平台」、《彩虹島》、《驚天動地》、《奇迹世界》的帳號信息，並把盜得的帳號信息發送到木馬種植者指定的接收網址。

　　病毒運行後釋放以下文件:

　　%systemroot%\Kvsc3.exe

　　%systemroot%\system32\Kvsc3.dll

　　枚舉系統上的進程,如發現"Ravmon.exe"進程,則關閉該進程.

　　創建線程查找"AVP.AlertDialog"和"AVP.Product_Notification"並查找"瑞星注冊表監控提示"窗口,如發現則模擬發送消息通過.

　　枚舉系統進程,查找"explorer.exe"進程,並將病毒文件%systemroot%\system32\Kvsc3.dll注入該進程空間內.

　　病毒安裝在系統上安裝全局鈎子,鈎子類型爲:WH_GETMESSAGE

　　判定病毒文件%systemroot%\system32\Kvsc3.dll是否注入到以下進程內:(如是則進行相關的盜取行爲)

　　gameclient.exe

　　lataleclient.exe

　　cabalmain.exe

　　sungame.exe

　　病毒分別盜取系統上的浩方對戰平台、網絡遊戲《彩虹島》、《驚天動地》、《奇迹世界》的帳號信息,並把盜取所得的帳號信息發送到木馬種植者指定的接收網址.

　　病毒添加注冊表啓動項:

　　Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　Value:"Kvsc3"

　　Data:"%systemroot%\Kvsc3.exe"

　　盜取所得的帳號信息通過以下格式發送至木馬種植者指定的接收網址

 

病毒名稱(中文): 網遊盜號木馬53248 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 53248 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個網遊盜號木馬，會盜取「浩方對戰平台」、《彩虹島》、《驚天動地》、《奇迹世界》的帳號信息，並把盜得的帳號信息發送到木馬種植者指定的接收網址。 病毒運行後釋放以下文件: %systemroot%\Kvsc3.exe %systemroot%\system32\Kvsc3.dll 枚舉系統上的進程,如發現"Ravmon.exe"進程,則關閉該進程. 創建線程查找"AVP.AlertDialog"和"AVP.Product_Notification"並查找"瑞星注冊表監控提示"窗口,如發現則模擬發送消息通過. 枚舉系統進程,查找"explorer.exe"進程,並將病毒文件%systemroot%\system32\Kvsc3.dll注入該進程空間內. 病毒安裝在系統上安裝全局鈎子,鈎子類型爲:WH_GETMESSAGE 判定病毒文件%systemroot%\system32\Kvsc3.dll是否注入到以下進程內: (如是則進行相關的盜取行爲) gameclient.exe lataleclient.exe cabalmain.exe sungame.exe 病毒分別盜取系統上的浩方對戰平台、網絡遊戲《彩虹島》、《驚天動地》、《奇迹世界》的帳號信息,並把盜取所得的帳號信息發送到木馬種植者指定的接收網址. 病毒添加注冊表啓動項: Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Value:"Kvsc3" Data:"%systemroot%\Kvsc3.exe" 盜取所得的帳號信息通過以下格式發送至木馬種植者指定的接收網址