Win32.Troj.OnlineGames.yf.73728

2008-08-14 23:07:24  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名稱(中文):

　　替身盜號器73728

　　病毒別名:

　　

　　

　　威脅級別:

　　★☆☆☆☆

　　病毒類型:

　　偷密碼的木馬

　　病毒長度:

　　73728

　　影響系統:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行爲:

　　這是一個針對《完美世界》的盜號木馬程序，它會用自己的病毒文件替換掉正常的遊戲文件，以便在用戶登錄遊戲時盜取帳號信息。

　　1.程序運行後，生成文件

　　%Temp%\wm.dll

　　%Temp%\wm.exe

　　2.病毒通過讀取注冊表來獲取用戶計算機上的網遊完美的安裝路徑，然後把網遊原文件"elementclient.exe"重命名爲

　　"elemontclient.exe",並設置隱藏屬性，再把%Temp%\wm.exe複制到目錄下並重命名爲"elementclient.exe"。

　　替換後的病毒文件會調用真正的網遊文件elementclient.exe,顯示官網w2i.com.cn信息迷惑用戶，並調用%Temp%\wm.dll

　　盜取用戶的帳號信息。

　　3.病毒在用戶計算機上安裝鈎子,鈎子類型爲:WM_GETMESSAGE，以讀取內存的方式獲取完美的帳號信息按照指定的格式

　　%s?action=postmb&u=%s&mb=%s%02d%02d%02d?s=%s&u=%s&p=%s&pin=%s&r=%s&l=%s&m=%s&mb=%d發送到木馬種植者指定的網址上.

 

病毒名稱(中文): 替身盜號器73728 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 73728 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個針對《完美世界》的盜號木馬程序，它會用自己的病毒文件替換掉正常的遊戲文件，以便在用戶登錄遊戲時盜取帳號信息。 1.程序運行後，生成文件 %Temp%\wm.dll %Temp%\wm.exe 2.病毒通過讀取注冊表來獲取用戶計算機上的網遊完美的安裝路徑，然後把網遊原文件"elementclient.exe"重命名爲 "elemontclient.exe",並設置隱藏屬性，再把%Temp%\wm.exe複制到目錄下並重命名爲"elementclient.exe"。 替換後的病毒文件會調用真正的網遊文件elementclient.exe,顯示官網w2i.com.cn信息迷惑用戶，並調用%Temp%\wm.dll 盜取用戶的帳號信息。 3.病毒在用戶計算機上安裝鈎子,鈎子類型爲:WM_GETMESSAGE，以讀取內存的方式獲取完美的帳號信息按照指定的格式 %s?action=postmb&u=%s&mb=%s%02d%02d%02d?s=%s&u=%s&p=%s&pin=%s&r=%s&l=%s&m=%s&mb=%d發送到木馬種植者指定的網址上.