Win32.Troj.OnlineGameT.bd.65697

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

QQ幻想盗号木马65697

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

偷密码的木马

病毒长度:

65697

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个针对网络游戏《QQ幻想》的盗号木马程序。它利用感染可执行文件来进行传播,通过读取内存的方式盗窃游戏帐号,然后发给木马作者。它还会搜索并关闭杀毒软件卡巴斯基和瑞星。

1.程序运行后,生成文件

%WINDOWS%\mfchlp.exe

%WINDOWS%\system32\mfchlp.dll

2.在注册表中添加了注册项,如下:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

启动项名:mfchlp对应路径:%WINDOWS%\mfchlp.exe

3.病毒运行后会删除自身文件。病毒首先打开事件"JGGJDQDCT",避免病毒重复运行,病毒会遍历进程查找explorer.exe,

将mfchlp.dll注入explorer.exe进程,申请内存空间将mfchlp.dll写入,通过远程线程创建激活病毒代码进行代码注入。

4.此病毒会主动感染其他的可执行文件,被感染的文件只要用户打开,立即再次激活。该病毒开启一线程每隔1ms查找窗口类名为

AVP.AlertDialog的窗口,若找到将其关闭,查找窗口名或类名为AVP.Product_Notification、瑞星注册表监控提示的窗口,

若找到通过发送消息WM_CLOSE将其关闭;

5.病毒试图通过全局挂钩注入到所有进程中,通过相关API函数获取病毒所在进程的名称,和网络游戏名qqffo.exe进行比较,

若相同则通过读写其内存,获取网络游戏账号和密码以及其它私人信息,通过网络收信空间发给木马作者。

感染文件

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航