病毒名称(中文):
R2盗号木马14452
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
16157
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个针对网络游戏《R2》的盗号木马。该木马修改注册表,把自己加入启动项,运行起来后注入到Explorer.exe,监视《R2》的进程,伺机盗取用户的帐号密码等信息。
1.复制文件:
%windir%\Fonts\enwebfx.fon
%windir%\Fonts\kawdjaz.exe
%windir%\Fonts\kawdjcs.dll
%windir%\Fonts\kawdjzy.dll
2.添加到到注册表:
添加以下注册表项,添加到ShellExcuteHooks和SPI:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A8907901-1416-3389-9981-37217856998A}]
指向文件:"C:\WINDOWS\Fonts\kawdjzy.dll"]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{A8907901-1416-3389-9981-37217856998A}"kawdjzy.dll"
3.破坏方式
该木马运行后,复制自身到系统文件夹,在注册表中添加ShellExcuteHooks项,在系统启动后随Exporer.exe启动,
注入到Explorer.exe进程,创建独立的线程对系统进程进行监视,发现R2Client.exe等网游进程,则读取进程内存数据,
盗取用户帐号密码等信息。
4.相关网址
http://www.r*x*.cn/1*v/post.asp
盗取的信息可能通过该网址提交