病毒名称(中文):
网游盗号木马94315
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
94315
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马。它通过创建注册表启动项实现开机自启动,然后创建线程关闭“卡巴斯基”和“瑞星”两款杀毒软件的相关提示窗口。最后查找并盗取网络游戏《大话西游3》、《破天一剑》、《惊天动地》的帐号信息。
病毒运行后释放以下病毒文件:
%systemroot%\DbgHlp32.exe
%systemroot%\system32\DbgHlp32.dll
创建线程查找窗口类名为"AVP.ALertDialog"和"AVP.Product_Nitification"的窗口,有则通过系统消息函数模拟用户鼠标点击"跳过"的操作.
查找窗口名为"瑞星注册表监控提示"的窗口,有则通过发送关闭消息使其关闭.
病毒文件"%systemroot%\system32\DbgHlp32.dll"注入explorer.exe进程空间.
病毒安装全局钩子,钩子类型为:WM_MOVE
病毒判定是否注入到以下进程,根据所注入进程执行不同的操作:
xymain.bin
china_login.mpr
cabalmain.exe
盗取系统上的三款网络游戏《大话西游3》、《破天一剑》、《惊天动地》的帐号信息,将盗取所得的信息发送至木马种植者指定的接收网址.
病毒创建注册表启动项:
Key:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Value:"DbgHlp32"
Data:"%systemroot%\DbgHlp32.exe"
木马种植者指定的接收网址如下:
http://n**iss.nok***ti.com/lxdejkein.asp?id=##&p=##&q=##&lck=##&js1=##&srv=##&id1=##&dj1=##&pc=[计算机名][xymain.bin]
http://www.d***10.com/ptyj333/shou333.asp?u=##&p=##&r=##&l=##&m=##&a=##&s=##&sp=[china_login.mpr]
http://www.d***10.com/jtdd333/shuo333.asp?a=##&s=##&u=##&r=##&l=##&m=##&p=##[cabalmain.exe]
