病毒名称(中文):
传奇盗号木马9900
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
9900
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个针对网络游戏《传奇》的盗号木马程序。它会强行关闭系统中的杀毒软件,并绕开游戏密保,然后盗取游戏的帐号和密码。
1、释放文件
C:\WINDOWS\192896M.exe
C:\WINDOWS\192896MM.DLL
2、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WinSysM"="C:\WINDOWS\192896M.exe"
3、192896M.exe将192896MM.DLL注入到explorer.exe进程中
192896MM.DLL运行后
下载文件http://www.f**3.com:7*7/MyUnBoundMB.uib
关闭杀毒软件窗口
绕过游戏密保
判定进程是否是传奇的进程,假如是就读取游戏内存获得帐号密码,并通过网络将其发送