病毒名称(中文):
网游盗号木马57344
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
57344
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个能盗取多个网络游戏帐号的盗号木马。它运行时创建线程,检测卡巴斯基和瑞星的警告窗口并将其关闭。病毒盗得帐号信息后会将其发送至木马种植者指定的接收网址。
这是一个能盗取多个网络游戏帐号的盗号木马,通过创建注册表项启动.
病毒运行时创建线程检测卡巴斯基和瑞星的警告窗口并关闭.把盗取所得的帐号信息在系统后台发送至木马种植者指定的接收网址.
病毒运行后释放以下病毒文件:
%systemroot%\cmdbcs.exe
%systemroot%\system32\cmdbcs.dll
创建线程查找瑞星进程ravmon.exe,找到后则发送消息关闭.
查找"AVP.AlertDialog"、"AVP.Product_Notification"和"瑞星注册表监控提示"窗口,找到则发送模拟按键消息"答应".
将病毒文件%systemroot%\system32\cmdbcs.dll注入到explorer.exe进程空间内.
盗取系统上的网络游戏《热血江湖》、《彩虹岛》、《惊天地动》和在线对战平台《浩方》的帐号信息,把盗取所得的帐号信息在系统后台发送至木马种植者指定的接收网址.
病毒创建注册表启动项:
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value:"cmdbcs"
Data:"%systemroot%\cmdbcs.exe"
盗取所得的帐号信息会以以下格式发送给木马种植者:
http://j*1.so***jj.com/cchh/lin.asp?ks=sb70&a=##&s=##&u=##&p=##&sp=##&r=##(浩方)
http://j*1.so***jj.com/cchh/lin.asp?ksa=##&s=##&u=##&p=##&sp=##&r=##&l=##&m=##(彩虹岛)
http://j*1.so***jj.com/cchh/lin.asp?ks=##&s=##&u=##&p=##&r=##&l=##&m=##(惊天动地)
