病毒名称(中文):
武林盗贼37008
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
37008
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马。木马通过创建系统服务实现开机启动,结束360安全卫士相关进程和“killer_Gdwli32.exe”专杀工具进程,然后盗取网络游戏《武林外传》的帐号信息,并发送给木马种植者。
病毒运行后释放以下病毒文件:
%systemroot%\system32\niluw.cfg
%systemroot%\system32\niluw.dll
%systemroot%\system32\drivers\msacpe.sys
判定系统是否有"ElementClient.exe"进程在运行,有则结束该进程.
删除系统上的"%systemroot%\system32\msepion.sys"文件.
获取环境变量"ComSpec"得到"cmd.exe"的全路径,调用"cmd.exe"执行自删除命令.
枚举系统进程,结束以下进程名:
360Tray.exe
360Safe.exe
killer_Gdwli32.exe
查找窗口标题名为"奇虎360安全卫士"的窗口和窗口类名为"Q360SafeMainClass"的窗口,有则获取其进程ID关闭.
判定病毒文件"%systemroot%\system32\niluw.dll"是否注入到"ElementClient.exe"进程,如是则进行盗号操作.
盗取系统上的网络游戏《武林外传》的帐号信息并发送给木马种植者.
病毒创建以下注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsyTypedword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsyStartdword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsyErrorControldword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsyImagePath%systemroot%\system32\drivers\msacpe.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsyDisplayName"mseqsy"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsyDescription"mseqsy"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSEQSY
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WL
