病毒名称(中文):
征途盗号木马32
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个针对网络游戏《征途》的盗号木马程序。病毒首先会查找杀毒软件瑞星和卡巴斯基弹出的警告窗口,模拟用户鼠标点击答应操作。然后枚举系统上的江民、瑞星、卡巴斯基进程,把它们的进程结束。最后注入游戏进程,盗取游戏账号和密码。
病毒运行后释放以下病毒文件:
%systemroot%\system32\ztinetzt.exe
%systemroot%\system32\ztinetzt.dll
病毒枚举系统上的进程,查找以下进程的PID:
avp.exe
RUNIEP.EXE
KRegEx.exe
KVXP.kxp
如查找到avp.exe则通过修改系统时间,使其失效.如查找到另外三个进程,则通过ntsd-cq-p命令结束进程.
创建线钱查找窗口标题为"瑞星注册表监控提示"、"IE执行保护"、"IE执行保护"、"瑞星卡卡上网安全助手-IE防漏墙"的窗口,模拟鼠标操作点击以上窗口的"同意修改"、"确定"、"答应执行"、"答应"的按钮.查找窗口类为"AVP.AlertDialog"、"AVP.Product_Notification"、"AVP.TrafficeMonConnectionTerm"的窗口,并模拟鼠标点击以上窗口的"创建规则"、"答应"、"跳过"、"否"的按钮.
释放完病毒文件后通过执行cmd.exe/cdel"病毒源文件"删除病毒自身(释放源).
病毒进程提权,获取explorer.exe进程的pid后,创建远程线程注入explorer.exe.病毒文件%systemroot%\system32\ztinetzt.dll注入explorer.exe进程.
盗取系统上的网络游戏《征途》的帐号信息并把盗取的信息发送至木马种植者指定的接收网址.
病毒创建注册表启动项:
Key:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Vluae:"MicrosoftAutorun14"
Data:"%systemroot%\system32\ztinetzt.exe"
接收网址如下:
http://www.m**8.cc/hyyzt/lin.asp?srv=##&id=##&p=##&s=##&ss=##&js=##&gj=##&dj=##&yz=##&mb=##&hsn=##
http://www.h****ang.cc/zt/liu1/lin.asp?srv=##&id=##&p=##&s=##&ss=##&js=##&gj=##&dj=##&yz=##&mb=##&hsn=##
