Win32.Troj.OnlineGames.yf.73728

2008-08-14 23:07:24  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名称(中文):

　　替身盗号器73728

　　病毒别名:

　　

　　

　　威胁级别:

　　★☆☆☆☆

　　病毒类型:

　　偷密码的木马

　　病毒长度:

　　73728

　　影响系统:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行为:

　　这是一个针对《完美世界》的盗号木马程序，它会用自己的病毒文件替换掉正常的游戏文件，以便在用户登录游戏时盗取帐号信息。

　　1.程序运行后，生成文件

　　%Temp%\wm.dll

　　%Temp%\wm.exe

　　2.病毒通过读取注册表来获取用户计算机上的网游完美的安装路径，然后把网游原文件"elementclient.exe"重命名为

　　"elemontclient.exe",并设置隐藏属性，再把%Temp%\wm.exe复制到目录下并重命名为"elementclient.exe"。

　　替换后的病毒文件会调用真正的网游文件elementclient.exe,显示官网w2i.com.cn信息迷惑用户，并调用%Temp%\wm.dll

　　盗取用户的帐号信息。

　　3.病毒在用户计算机上安装钩子,钩子类型为:WM_GETMESSAGE，以读取内存的方式获取完美的帐号信息按照指定的格式

　　%s?action=postmb&u=%s&mb=%s%02d%02d%02d?s=%s&u=%s&p=%s&pin=%s&r=%s&l=%s&m=%s&mb=%d发送到木马种植者指定的网址上.

 

 

 

病毒名称(中文): 替身盗号器73728 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 73728 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个针对《完美世界》的盗号木马程序，它会用自己的病毒文件替换掉正常的游戏文件，以便在用户登录游戏时盗取帐号信息。 1.程序运行后，生成文件 %Temp%\wm.dll %Temp%\wm.exe 2.病毒通过读取注册表来获取用户计算机上的网游完美的安装路径，然后把网游原文件"elementclient.exe"重命名为 "elemontclient.exe",并设置隐藏属性，再把%Temp%\wm.exe复制到目录下并重命名为"elementclient.exe"。 替换后的病毒文件会调用真正的网游文件elementclient.exe,显示官网w2i.com.cn信息迷惑用户，并调用%Temp%\wm.dll 盗取用户的帐号信息。 3.病毒在用户计算机上安装钩子,钩子类型为:WM_GETMESSAGE，以读取内存的方式获取完美的帐号信息按照指定的格式 %s?action=postmb&u=%s&mb=%s%02d%02d%02d?s=%s&u=%s&p=%s&pin=%s&r=%s&l=%s&m=%s&mb=%d发送到木马种植者指定的网址上.