Win32.Troj.DownloaderT.m.101715 - 王朝网络宽屏版

病毒名称(中文):

盗号下载者101715

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

偷密码的木马

病毒长度:

101715

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个盗号木马。它会删除系统上的安全漏洞修补文件，并破坏安全辅助软件“360安全卫士”的正常运行，然后盗取系统上的网络游戏《问道》的帐号信息，并下载其它木马程序。

病毒运行后释放以下病毒文件:

%Temp%\*dw.dll(*号代表病毒源文件的文件名)

病毒运行后查找系统上有没有类名为"KVXP_Monitor"和"Q360SafeMonClass"的窗口,有则关闭之.

病毒查找系统上是否存在"VerClsid.exe"文件,有则删除.(%systemroot%\system32\VerClsid.exe)

释放病毒文件(%Temp%\*dw.dll)后,加载并调用其中的"wd_ksHook"和"wd_tzHook"这两个方法.

安装全局钩子,挂钩类型为:WH_GETMESSAGE

查找窗口类名"AVP.Tray"的窗口,有则设置系统时间为"2004"年.

结束两个360的进程,"360safe.exe"和"360tray.exe".

注入explorer.exe进程,盗取系统上的网络游戏《问道》的帐号信息并发送给木马种植者.

后台下载木马程序并运行.下载地址为:http://www.c*t**6*6.comtx.exe

病毒创建以下注册表项:

HKEY_CLASSES_ROOT\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}

HKEY_CLASSES_ROOT\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}@"Microsoft"

HKEY_CLASSES_ROOT\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32

HKEY_CLASSES_ROOT\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32@""

HKEY_CLASSES_ROOT\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32ThreadingModel"Apartment"

HKEY_CURRENT_USER\Software\ComCaraisn{009853BE-9758-4887-9755-C8761F5FDE61}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}@"Microsoft"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32@""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32ThreadingModel"Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{009853BE-9758-4887-9755-C8761F5FDE61}