病毒名称(中文):
网游内存盗号者65536
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
65536
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个可同时盗取多个网络游戏帐号的盗号木马。它通过修改注册表启动项实现开机自启动,作案目标是《魔兽世界》、《赤壁》和《茶苑游戏大厅》的帐号信息。
病毒文件注入explorer.exe进程.
病毒运行后释放以下病毒文件:
%systemroot%\mfchlp32.exe
%systemroot%\system32\mfchlp32.dll
创建事件对象"JGGJDQDCT"保证只有一个病毒进程在运行.
枚举系统上的进程,把病毒文件%systemroot%\system32\mfchlp32.dll注入explorer.exe的进程空间.
在系统上安装全局钩子,挂钩的类型为"WH_MOUSE".
判定病毒文件%systemroot%\system32\mfchlp32.dll是否注入到以下进程:
ElementClient.exe(赤壁)
Wow.exe(魔兽世界)
GtSaloon.exe(茶苑游戏大厅)
盗取系统上的网络游戏《魔兽世界》、《赤壁》、《茶苑游戏大厅》的帐号信息并发送至木马种植者指定的接收网址.
病毒创建注册表Run启动项:
Key:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Value:"mfchlp32"
Data:"%systemroot%\mfchlp32.exe"
指定的接收网址:
http://www.ck***66.com/wow5566/lin111.asp?a=##&s=##&u=##&p=##&r=##&l=##&pin=##
http://www.ck***66.com/cy876/lin111.asp?&ie=##
