病毒名称(中文):
热血江湖盗号木马23040
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
23040
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个针对网络游戏《热血江湖》的盗号木马。它会关闭安全软件的提示窗口,然后注入系统桌面进程,查找并盗取游戏帐号,发送至指定的接收网址。
这是一个盗号木马,通过注册表的Run启动项实现开机启动.
关闭安全软件的提示窗口,病毒文件注入explorer.exe进程.
盗取系统上的网络游戏《热血江湖》的帐号信息并发送给至指定的接收网址.
病毒运行后释放以下病毒文件:
%Temp%\rxso.exe
%Temp%\rxso0.dll
枚举当前系统所有进程,结束"FilMsg.exe"和"Twister"两个进程.
创建线程查找窗口"AlertDialog"和"Product_Notification",找到则模拟鼠标点击"答应"和"跳过"按钮操作.
创建线程,枚举进程"RavMon.exe"的线程,获取线程的窗口类和窗口标题,假如与病毒所置的相同则发送消息关闭.
病毒文件%Temp%\rxso0.dll注入explorer.exe进程.
盗取系统上的网络游戏《热血江湖》的帐号信息,发送至木马种植者指定的接收网址.
病毒创建注册表Run启动项:
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value:"rxsa"
Data:"%Temp%\rxso.exe"
木马接收网址:
http://www.6614***9.com/rx/mail.asp?a=##&s=##&u=##&p=##&sp=##&r=##&l=##&m=##
