病毒名称(中文):
魔兽帐号盗贼348160
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
48160
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是针对网络游戏《魔兽世界》的盗号木马。病毒运行后会修改注册表增加伪系统服务,注入桌面进程,通过设置消息钩子的方式来盗取游戏的账号和密码。
1.生成文件
C:\WINDOWS\system32\mseam.sys
C:\WINDOWS\system32\ydmhsfl.dll
C:\WINDOWS\system32\yld32.dll
2.修改注册表,增加伪系统服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
Type=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
ErrorControl=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
ImagePath=hex(2):5c,53,79,73,74,65,6d,52,6f,6f,74,5c,53,79,73,74,65,6d,33,32,5c,64,72,69,76,65,72,73,5c,77,73,32,69,66,73,6c,2e,73,79,73,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
DisplayName="Windows套接字2.0Non-IFS服务提供程序支持环境"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
Group="PNP_TDI"
3.把ydmhsfl.dll和yld32.dll注入到Explorer.exe进程当中.
4.病毒运行后还会删除病毒源文件.
5.利用设置消息钩子的方式来盗取游戏的账号和密码.
并把盗取得到的账号信息发送到以下的网址中:
http://www.*****.com/PLtyd.asp