病毒名称(中文):
网游盗号木马14452
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
15825
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游盗号木马。它运行后,会禁用Windows进行自动更新和使用防火墙,然后注入系统桌面进程Explorer.exe中,创建独立线程,在系统中搜索《诛仙》、《完美世界》、《武林外传》、《机战》、《热血传奇》等游戏的进程,注入其中盗取用户的帐号密码等信息。
1.复制文件:
%windir%\Fonts\swrcgac.exe
%windir%\Fonts\swrcgcs.dll
%windir%\Fonts\swrcgzc.dll
%windir%\Fonts\wirebfw.fon
其中%windir%\Fonts\swrcgcs.dll、%windir%\Fonts\wirebfw.fon为配置文件
2.添加到到注册表:
添加以下注册表项,添加到ShellExecuteHooks启动项,并且禁用Windows自动更新和防火墙:
[HKEY_CLASSES_ROOT\CLSID\{878A7521-FA87-34AB-34C2-4893F3AD34C8}]
指向"C:\WINDOWS\Fonts\swrcgzc.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{878A7521-FA87-34AB-34C2-4893F3AD34C8}"swrcgzc.dll"
这样添加到ShellExecuteHooks;
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
NoAutoUpdatedword:00000001
AUOptionsdword:00000001
以上键值禁用了Windows自动更新;
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
EnableFirewalldword:00000000
该键值禁用了WindowsXPSP2的防火墙。
3.破坏方式
该木马运行后,复制多个文件到系统的字体目录(%windir%\Fonts\),并删除自身,添加到ShellExecuteHooks项,随
Explorer.exe启动,禁用Windows自动更新WindowsXPSP2的防火墙,启动后注入Explorer.exe中,创建独立线程,在
系统中搜索ElementClient.exe、TQAT.exe、mir1.dat等游戏进程相关文件,注入其中,盗取用户帐号密码等信息。
