病毒名称(中文):
网游盗号木马16503
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
16503
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个可以盗取多个网络游戏帐号信息的盗号木马。病毒创建线程关闭“瑞星”和“卡巴斯基”的警告窗口,使用户无法知道盗号行为。病毒把盗得的帐号信息分别发送至不同的接收地址。此外,该病毒创建的注册表启动项所指向的Exe病毒文件每次开机时都会被重新命名,以迷惑用户。
病毒运行后释放以下病毒文件:
%systemroot%\fzbapl.exe
%systemroot%\system32\RegSrv64D.dll
病毒内部创建线程查找"AVP.AlertDialog"、"AVP.Product_Notification"和"瑞星注册表监控提示"窗口,找到则发送模拟按键消息"答应".
将病毒文件%systemroot%\system32\RegSrv64D.dll注入到explorer.exe进程空间内.
判定病毒文件%systemroot%\system32\RegSrv64D.dll是否注入到以下进程:
cabalmain.exe
china_login.mpr
gameclient.exe
so2game.exe
conquer.exe
盗取系统上的网络游戏《惊天动地》、《剑侠情缘2》、《破天一剑》、《征服》和在线对战平台《浩方》的帐号信息并发送至木马种植者指定的接收网址.
该病毒会在重启前把其注册表启动项指向的Exe病毒执行文件重命名,并把重命名后的文件名重写至其启动项.但Value名不变,其Data数据改变.
病毒创建注册表启动项:
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value:"RegSrv64D"
Data:"%systemroot%\fzbapl.exe"<=注重此项的值会在重启后改变
木马种植者指定的接收网址如下:
http://www.n****d.com/xinpotian/lin.asp?u=##&p=##&r=##&l=##&m=##&a=##&s=##&sp=##