Win32.PSWTroj.WOW.348160

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

魔兽帐号盗贼348160

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

偷密码的木马

病毒长度:

48160

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是针对网络游戏《魔兽世界》的盗号木马。病毒运行后会修改注册表增加伪系统服务,注入桌面进程,通过设置消息钩子的方式来盗取游戏的账号和密码。

1.生成文件

C:\WINDOWS\system32\mseam.sys

C:\WINDOWS\system32\ydmhsfl.dll

C:\WINDOWS\system32\yld32.dll

2.修改注册表,增加伪系统服务

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL

Type=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL

ErrorControl=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL

ImagePath=hex(2):5c,53,79,73,74,65,6d,52,6f,6f,74,5c,53,79,73,74,65,6d,33,32,5c,64,72,69,76,65,72,73,5c,77,73,32,69,66,73,6c,2e,73,79,73,00,

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL

DisplayName="Windows套接字2.0Non-IFS服务提供程序支持环境"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL

Group="PNP_TDI"

3.把ydmhsfl.dll和yld32.dll注入到Explorer.exe进程当中.

4.病毒运行后还会删除病毒源文件.

5.利用设置消息钩子的方式来盗取游戏的账号和密码.

并把盗取得到的账号信息发送到以下的网址中:

http://www.*****.com/PLtyd.asp

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航