Win32.Troj.AgnetT.lf.48640

病毒名称(中文):

梦幻西游盗号者48640

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

偷密码的木马

病毒长度:

48640

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个盗号木马,盗取系统上的网络游戏《梦幻西游》的帐号信息.通过创建注册表Run项实现开机启动.

病毒运行后释放以下病毒文件:

%temp%\D3D9_32.DLL

%temp%\D3D9_64.DLL

C:\Privilege.dat

%systemroot%\dxtmechk

%systemroot%\system32\D3D9_32.DLL

%systemroot%\system32\D3D9_64.DLL

%systemroot%\system32\DXDLG.EXE

%systemroot%\system32\REGKEY.hiv

病毒运行后结束当前系统的My.exe进程.(网络游戏《梦幻西游》进程)

枚举进程,尝试将病毒文件%systemroot%\system32\D3D9_32.DLL注入Services.exe和explorer.exe进程.

查找进程,查找my.exe进程后,将病毒文件%systemroot%\system32\D3D9_64.DLL注入其进程.

盗取系统上的网络游戏《梦幻西游》的帐号信息,并发送至木马种植者指定的接收网址.

病毒创建以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunDXDLG32"DXDLG.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDWG32"LYLoadbr.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDCG32"LYLeador.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDOG32"LYLoador.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDSG32"LYLoadar.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDMG32"LYLoadmr.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDHG32"LYLoadhr.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunMSDQG32"LYLoadqr.exe"

接收网址:(分别有五个接收网址,以便其中一个无效换其它网址接收)

http://www.r***swd.com/cs03/post.asp?server=##&gameid=##&pass=##&pin=##&wupin=##&role=##&equ=现金:##存银:##&other=Build:####

http://www.6***h1.cn/mdb5postasp.asp?server=##&gameid=##&pass=##&pin=##&wupin=##&role=##&equ=现金:##存银:##&other=Build:####

http://www.6***h2.cn/mdb5postasp.asp?server=##&gameid=##&pass=##&pin=##&wupin=##&role=##&equ=现金:##存银:##&other=Build:####

http://www.6***q1.cn/wsbw/mdb5postasp.asp?server=##&gameid=##&pass=##&pin=##&wupin=##&role=##&equ=现金:##存银:##&other=Build:####

http://www.6***q2.cn/wsbw/mdb5postasp.asp?server=##&gameid=##&pass=##&pin=##&wupin=##&role=##&equ=现金:##存银:##&other=Build:####