订阅病毒名稱(中文):
網遊盜號木馬53248
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
偷密碼的木馬
病毒長度:
53248
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個網遊盜號木馬,會盜取「浩方對戰平台」、《彩虹島》、《驚天動地》、《奇迹世界》的帳號信息,並把盜得的帳號信息發送到木馬種植者指定的接收網址。
病毒運行後釋放以下文件:
%systemroot%\Kvsc3.exe
%systemroot%\system32\Kvsc3.dll
枚舉系統上的進程,如發現"Ravmon.exe"進程,則關閉該進程.
創建線程查找"AVP.AlertDialog"和"AVP.Product_Notification"並查找"瑞星注冊表監控提示"窗口,如發現則模擬發送消息通過.
枚舉系統進程,查找"explorer.exe"進程,並將病毒文件%systemroot%\system32\Kvsc3.dll注入該進程空間內.
病毒安裝在系統上安裝全局鈎子,鈎子類型爲:WH_GETMESSAGE
判定病毒文件%systemroot%\system32\Kvsc3.dll是否注入到以下進程內:(如是則進行相關的盜取行爲)
gameclient.exe
lataleclient.exe
cabalmain.exe
sungame.exe
病毒分別盜取系統上的浩方對戰平台、網絡遊戲《彩虹島》、《驚天動地》、《奇迹世界》的帳號信息,並把盜取所得的帳號信息發送到木馬種植者指定的接收網址.
病毒添加注冊表啓動項:
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value:"Kvsc3"
Data:"%systemroot%\Kvsc3.exe"
盜取所得的帳號信息通過以下格式發送至木馬種植者指定的接收網址
