病毒名称(中文):
热血盗号木马69632
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
69632
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个针对网络游戏《热血江湖》的盗号木马。它可以通过模拟键盘点击的方式,使部分杀毒软件的监控程序同意木马的非法操作。病毒注册为系统组件实现开机自启动。通过读取游戏内存空间的方式盗取游戏帐号。会检测自身的注册表项防止被用户更改。
1.木马释放如下文件:
%sysytemboot%\\system32\\rxdoor0.dll
2.添加如下注册表项,实现
HKEY_CLASSES_ROOT\CLSID\{EDFF29C1-4460-AC1D-5A70-16DCB4B672F0}
"daExeModuleName""%systemboot%\\system32\\rxdool.dll"
"daDllModuleName""原木马的路径"
"daSobjEventName""YURDFGHKCOOLRX_0"
CLSID\\{EDFF29C1-4460-AC1D-5A70-16DCB4B672F0}\InprocServer32
"""%systemboot%\\system32\\rxdool.dll"
"ThreadingModel""Apartment"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
"hookrx""{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}"
3.假如检测到有热血江湖的主程序,则读取游戏的内存,在其中找到用户的帐号密码等信息,上传到指定的网页。
4.该木马会以一定的时间间隔检测自身添加的注册表项,假如被修改则重新写入。