病毒名称(中文):
武林调包盗号者151552
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
151552
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马。病毒没有注册表动作,而是以替换《武林外传》主程序和调用病毒Dll文件的方式,达到盗取帐号信息之目的。
该盗号木马是通过运行游戏时而被运行的,无任何注册表启动项.
获取用户计算机上的系统盘盘符,在其根目录下创建"Recycler"的文件夹(文件夹属性为"隐藏"和"系统").
病毒运行后把释放病毒文件至以下目录:
%SystemDrive%\Recycler\winwl.exe
%SystemDrive%\Recycler\wl.dll
该病毒并无任何注册表或服务启动项.
病毒通过读取《武林外传》在系统注册中某项的值取得其安装目录.
判定病毒Exe文件的当前目录下是否存在《武林外传》游戏文件"elementskill.dll",如没有则进行复制操作,把病毒文件winwl.exe复制至游戏目录下进行重命名为正常游戏主程序的名字,把正常游戏主程序设置属性为"隐藏",并重命名为"elemontclient.exe".
病毒源文件运行时会检测有没有"瑞星主动防御"的窗口,没有的话则直接运行%SystemDrive%\Recycler\winwl.exe
在染毒后运行《武林外传》,病毒运行后会调用真正的网游文件elemontclient.exe,并调用%SystemDrive%\Recycler\wl.dll盗取用户的帐号信息.
病毒在用户计算机上安装钩子,钩子类型为:WH_GETMESSAGE
病毒以读取内存的方式获取《武林外传》的帐号信息并发送到木马种植者指定的网址上.
