病毒名称(中文):
网游盗号者34304
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
34304
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个针对多款网络游戏的盗号木马程序,它将自己的DLL文件注入游戏进程,强行关闭游戏,使得用户不得不重新登录,以便在这一过程中记录用户输入的帐号和密码。
1.判定当前注入的进程名称是否为zhengtu.dat,china_login.mpr,gameclient.exe,so2game,WOW.exe
比较的字符有些不是明文显示,会做一些简单的异或加密,可以看出明显是一些游戏进程,
假如进程名匹配成功后,会根据不同的进程名做不同的处理,以达到盗号目的,
假如匹配失败则退出.
2.保护自身的dll模块防止被卸载.
4.创建线程,等待五分钟结束一次当前游戏进程.
