病毒名称(中文):
网游盗号木马352256
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
352256
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网络游戏盗号木马。该木马通过从网络上下载配置文件,盗取黑客指定的游戏或者其他程序的帐号,并发送到黑客指定的网站。它的盗取对象有《完美世界》,《魔域》,《诛仙》,“MSN”,“YahooMessenger”等。
这个程序是一个.scr文件,也就是一个屏幕保护程序。这个.scr文件里包含了两个文件,一个JPG图片,一个EXE。
这个EXE就是盗号木马。该.scr程序运行后:
1、弹出一张图片
2、释放文件
C:\WINDOWS\Debug\B831406A9770.dll
C:\WINDOWS\Debug\B831406A9770.exe
3、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{291FABA8-CB00-488C-AC9E-B457FFC4A117}""该CLSID指向C:\WINDOWS\Debug\B831406A9770.dll
4、B831406A9770.exe将DLL文件加载到系统中所有进程中。B831406A9770.dll判定是否是目标进程,
假如是就读取配置文件指示的进程内存地址或者在要害地方做挂钩,来获得用户的用户名和密码。
并将此信息发送到黑客指定的网站。