病毒名称(中文):
热血江湖盗号者135168
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
135168
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马,它会替换掉网络游戏《热血江湖》的启动文件,使用户通过病毒伪装的启动文件进入游戏,以盗取系统上的帐号信息,并发送给木马种植者。
病毒运行后释放以下病毒文件:
%systemdrive%\RECYCLER\rrr.exe
%systemdrive%\RECYCLER\yb_men.dll
病毒并无创建或修改任何注册表或服务启动项.
查找窗口名为"瑞星主动防御"的窗口,如无则运行%systemdrive%\RECYCLER\rrr.exe.
遍历系统所有磁盘,查找"yb_sync.dll"和"yb_mem.dll"两个文件的所在路径.(热血江湖游戏文件)
把游戏目录下的程序launcher.exe重命名为launchar.exe,并设置launchar.exe的文件属性为"系统"和"隐藏".
病毒文件rrr.exe复制至游戏目录下,重命名为launcher.exe.
如中此病毒后,用户通过双击launcher.exe会先启动游戏程序(已被重命名的launchar.exe),并调用病毒文件%systemdrive%\RECYCLER\yb_men.dll.
病毒文件%systemdrive%\RECYCLER\yb_men.dll判定自身是否注入到以下进程:
Explorer.exe
Client.exe
如注入Explorer.exe进程则病毒文件%systemdrive%\RECYCLER\yb_men.dll安装全局钩子.
如注入Client.exe进程则查找窗口名为"YB_OnlineClient"的窗口,通过读取该游戏进程的内存方式盗取网络游戏《热血江湖》的帐号信息并发送至木马种植者指定的接收网址.