Win32.PSWTroj.OnLineGames.118784

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

雁过留声盗号器118784

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

偷密码的木马

病毒长度:

118784

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个盗号木马程序。该病毒修改注册表实现自动启动,然后在IE浏览器的后面创造一个IE服务器,以此截获用户浏览网页时输入的各种帐号和密码,达到盗号目的。

1.程序运行后,生成文件

%WINDOWS%\system32\MSetole.dll

%WINDOWS%\system32\serve.exe

2.程序运行后删除自身原始文件

3.在注册表中添加了注册项,如下:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32RegEdit

项名:ImagePath对应路径:hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,73,65,72,76,65,2e,65,78,65,00,

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32REGEDIT\0000\Control

项名:ActiveService对应值:"Win32RegEdit"

4.木马冒充InternetExplorer_Server,创建个IE服务器

,相当于在你和真正的服务器之间被他截取了一次,通过截取用户输入的相关帐号信息,以网页报表(Host:%s)的方式将相关信息用

a=%s&p=%s&g=%s&s=%s&n=%s&l=%s...的格式发送出去。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航