病毒名称(中文):
奇迹世界盗号木马14789
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
14789
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取《奇迹世界》帐号信息的木马。它会破坏WINDOWS防火墙和系统自动更新功能的正常运行,然后建立监视程序,盗取用户的游戏帐号和密码。由于它的频繁建立监视和处理数据,会占用电脑系统的大部分资源,造成电脑反应变慢。
1.病毒会释放以下文件:
%SystemRoot%\system32\raqjcpi.dll
%SystemRoot%\system32\raqjcni.dll
%SystemRoot%\Fonts\chqiaur.fon
病毒运行后会将自己拷贝到%SystemRoot%\system32\raqjctl.exe,并调用批处理不断删除自己.
且会在注册表中,修改ShellExecuteHooks项,使每次重启后EXPLORER.EXE进程自动加载%SystemRoot%\system32\raqjcpi.dll.
2.其中raqjcpi.dll是注入到其它进程的主DLL文件.
raqjcni.dll和chqiaur.fon网站的列表,盗取密码之后就发送到一下网址:
http://www.a-x**.cn/bob/post.asp
3.病毒运行后修改注册表中的防火墙和自动更新设置,使WINDOWS防火墙被禁用,而自动更新无法被启用,
病毒在处理挂钩是又不断获取数据,发送数据,挂钩...,使用户的机子变得巨卡无比.
