病毒名称(中文):
大话西游盗号者14741
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
14741
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马。它会通过模拟按键的方式躲避杀软的警告窗口。每次启动时,病毒进程名称都不同,但对应的病毒文件却是固定的。病毒会盗取网络游戏《大话西游2》的帐号信息并发送至木马种植者指定的接收网址。
创建线程查找窗口"AVP.AlertDialog"、"AVP.Product_Notification"、"瑞星注册表监控提示",如发现则模拟发送按键消息,使病毒通过"瑞星"和"卡巴斯基"的警告.
通过模拟按键躲避杀软的警告后,病毒执行文件释放、创建注册表启动项、注入进程等操作.
枚举系统进程,查找explorer.exe进程,获取其进程ID后,打开该进程,把病毒文件NVDispDrv.dll注入到该进程空间内.
病毒通过注入进程的病毒文件NVDispDrv.dll文件盗取网络游戏《大话西游2》的帐号信息并发送到木马种植者指定的接收网址.
病毒会把中毒的计算机的计算机名也发送给木马种植者.
病毒创建的注册表启动项指向的病毒.Exe文件每次重启后都会改变,但该启动项的Value值为固定的"NVDispDrv".
病毒运行后释放以下病毒文件:
%systemroot%\fzwezc.exe
%systemroot%\system32\NVDispDrv.dll
病毒通过创建注册表启动项实现开机自动运行:
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value:"NVDispDrv"
Data:"%systemroot%\fzwezc.exe"
接收帐号信息的接收网址:
http://www.3*9**8.cn/x**h//lin.asp?ks=sbb1&id=##&p=##&q=##&lck=##&srv=##&js1=##&id1=##&dj1=##&pc=##"