病毒名称(中文):
网游盗号木马37008
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
37008
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游盗号木马程序,该木马会盗取征途,完美世界等网络游戏的帐号。
1、释放文件
C:\WINDOWS\system32\auhad.cfg
C:\WINDOWS\system32\auhad.dll
C:\WINDOWS\system32\msepion.sys
C:\WINDOWS\system32\drivers\msaclue.sys
2、添加服务
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msskye]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"="system32\DRIVERS\msaclue.sys"
"DisplayName"="msskye"
"Description"="msskye"
3、将auhad.dll注入到系统中的所有进程。
该DLL运行后会关闭360,卡巴,瑞星,金山等等常用杀毒软件。
该DLL还会将盗得的帐号通过网络发送给黑客。
假如该木马的服务程序被删了,或者服务程序的注册表键值被删除了,该DLL会将其恢复。
4、启动服务msaclue.sys
这个服务监视进程的启动,并抢在即将启动的进程运行之前将病毒代码写入到进程空间,然后运行该病毒代码。
病毒代码会通过读写游戏进程的内存,取得玩家的帐号密码。