病毒名称(中文):
网游帐号贪吃蛇60928
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
60928
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马程序。该程序首先会寻找含有“游戏”的窗口,然后建立消息监视程序,截获用户与网游服务器之间的网络数据包,从而盗取用户的帐号相关信息。
1.程序运行后,生成文件
%WINDOWS%\System32\xsbio.dll
%WINDOWS%\System32\patch.exe
2.在注册表中添加了注册项,如下:
HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
启动项名:@对应路径:"C:\WINDOWS\System32\xsbio.dll"
HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
启动项名:ThreadingModel对应值:"Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
启动项名:@对应路径:"C:\WINDOWS\System32\patch.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
启动项名:ThreadingModel对应值:"Apartment"
3.木马会寻找互斥量"_MUTEX_AD_____LOADER",用来判定是否已经有木马在运行;若没有则会创建文件,
调用xsbio.dll中的函数"JumpHookOn"开始工作。
4.木马会通过寻找含有"游戏"的窗口,然后截获网络数据包,从而盗取网游用户的帐号相关信息。
