病毒名称(中文):
浩方盗号者变种18432
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
18432
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个针对“浩方游戏平台”的盗号木马。病毒注入其它进程后,会查找并关闭卡巴斯基的进程,然后注入系统桌面进程,寻找“浩方”的程序,盗取帐号信息。
1.病毒运行后,会启动一个线程来检测卡巴斯基的窗口,当检测到后就模拟用户点击鼠标来发送关闭消息
来关闭卡巴斯基.
2.将自己复制到WINDOWS目录下的WINFORM.EXE,并释放一个WINFORM.DLL文件到SYSTEM32目录下.
3.在RUN键下创建自启动键值WINFORM,启动参数为:%SYSTEMROOT%\WINFORM.EXE.
4.枚举进程,当找到EXPLORER进程时就注入远程代码来加载WINFORM.DLL.
5.通过EXPLORER进程来创建一个全局钩子,以注入WINFORM.DLL到浩方进程,
当找到要盗取帐号的进程,就进行盗号.