病毒名称(中文):
捆绑式盗号木马462129
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
462129
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个捆绑的网游盗号木马。该程序会增加浏览器插件,并设为自启动,当用户打开浏览器时会自动弹出Windows系统医生
,误导用户点击扫描,实际上运行了网游的盗号木马,该木马可以搜索多种网游的登录窗口,然后获取登录信息。
1.程序运行后,生成文件
%ProgramFiles%\xerox\Windows.exe
%Windows%\Debug\B831406A9770.dll
%Windows%\Debug\B831406A9770.exe
2.在注册表中添加了注册项,如下:
HKEY_CLASSES_ROOT\CLSID\{291FABA8-CB00-488C-AC9E-B457FFC4A117}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{291FABA8-CB00-488C-AC9E-B457FFC4A117}\InProcServer32
启动项名:@对应路径:"C:\WINDOWS\Debug\B831406A9770.dll"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\EXE
启动项名:EXE对应路径:原文件本身路径
3.木马会依靠IE启动,每次随着IE启动,Windows系统医生则自动弹出。
4.木马的dll文件会自动加载到所有进程中。
5.该病毒主要是借Windows系统医生伪装自己盗取多种网游帐号信息。