病毒名称(中文):
网游盗号木马90112
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
17040
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该木马运行后,复制木马文件和配置文件到系统字体文件夹,同时添加到ShellExecuteHooks启动项,随系统开机启动。运行后,注入到Explorer.exe,开启独立线程监控系统中是否有elementclient.exe、xy2.exe等多款网游进程,盗取玩家的网游信息(包括账号密码等),后台发送出去。
1.复制文件:
运行后,复制以下文件后,删除自身:
%WinDir%\Fonts\wsmsfax.exe
%WinDir%\Fonts\wsmsfcj.dll
%WinDir%\Fonts\wsmsfzx.dll
%WinDir%\Fonts\wymobfz.fon
其中%WinDir%\Fonts\wsmsfcj.dll、%WinDir%\Fonts\wymobfz.fon为配置文件。
2.添加到到注册表:
添加以下注册表项,添加到ShellExecuteHooks,开机自启动:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{892FADFA-BCDE-ACDF-CDEF-21054865CBA8}\InprocServer32]
@="C:\WINDOWS\Fonts\wsmsfzx.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{892FADFA-BCDE-ACDF-CDEF-21054865CBA8}="wsmsfzx.dll"
3.破坏方式
该木马运行后,复制木马文件和配置文件到系统字体文件夹,同时添加到ShellExecuteHooks启动项,随系统开机启动。运行后,
注入到Explorer.exe,开启独立线程监控系统中是否有elementclient.exe、xy2.exe等多款网游进程,盗取玩家的网游信息(包括
账号密码等),后台发送出去。
4.相关网址
http://xdnet.a*5.1**ns.com/5000/wow/post.asp
可能通过该网址将盗取信息提交。