Win32.Troj.OnLineGames.ly.212480

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

虚假登录盗号者212480

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

偷密码的木马

病毒长度:

212480

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个盗号木马程序。该程序会创建多款网络游戏的虚假服务器,骗取用户登陆,从而盗取用户的帐号相关信息。

1.程序运行后,生成文件

%WINDOWS%\Web\printers\images\rinter.dll

%WINDOWS%\Web\printers\images\rinter.exe

2.在注册表中添加了注册项,如下:

HKEY_CLASSES_ROOT\CLSID\{7152C68A-D93C-49BF-AFEF-6B4576849A7E}\InProcServer32

启动项名:@对应路径:"C:\WINDOWS\Web\printers\images\rinter.dll"

HKEY_CLASSES_ROOT\CLSID\{7152C68A-D93C-49BF-AFEF-6B4576849A7E}\InProcServer32

启动项名:ThreadingModel对应值:"Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7152C68A-D93C-49BF-AFEF-6B4576849A7E}\InProcServer32

启动项名:@对应路径:"C:\WINDOWS\Web\printers\images\rinter.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7152C68A-D93C-49BF-AFEF-6B4576849A7E}\InProcServer32

启动项名:ThreadingModel对应值:"Apartment"

3.木马会打开互斥量"FMPExeTrExt",寻找全局原子变量"oleoleoleole",用来判定是否已经有木马在运行;若没有则会创建文件,

调用rinter.dll中的函数"JumpHookOn"开始工作。

4.木马会自己创建多种虚假网游服务器game:RAN.Tw,game:WOW.Tw,game:TianTang.Tw,game:FZG.Tw,game:HY.Tw,骗取用户登陆,

从而盗取用户的帐号相关信息。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航