| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.vaklik.397312

2008-08-14 23:08:26  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名稱(中文):

  網遊盜號木馬397312

  病毒別名:

  

  

  威脅級別:

  ★☆☆☆☆

  病毒類型:

  木馬下載器

  病毒長度:

  87024

  影響系統:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行爲:

  這是一個可盜取多個網絡遊戲帳號的木馬下載器。它具備一定的對抗能力,會查找並關閉一些主流安全軟件的進程。病毒注入系統進程,搜索電腦中已安裝的網絡遊戲,然後下載相應的的盜號木馬執行盜號。

  1.病毒運行後枚舉當前系統內進程,當發現指定安全工具進程和遊戲進程時利用TerminateProcess結束這些進程,但目前殺毒軟件自保護功能多能反抗這種攻擊。

  2.創建線程監視系統窗口,發現殺毒軟件提示病毒窗口時,通過發送關閉消息和模擬鼠標點擊來使殺軟放行。

  3.釋放文件%windows%\Fonts\codoor0.dll,文件創建時間設置的和系統文件explorer.exe一致,以隱藏自身。

  4.在注冊表添加如下項:HKEY_CLASSES_ROOT\CLSID\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},在其下添加幾個路徑鍵值。

  5.載入%windows%\Fonts\codoor0.dll,該DLL載入後查詢病毒在注冊表所添加的相應項,獲取文件路徑等信息。

  6.該DLL在explorer.exe創建遠程線程,按上一步查詢所獲取路徑刪除病毒原文件,監視系統內遊戲進程,記錄到%system32%\game.ini,並根據相應遊戲進程選擇下載相應盜號木馬。如發現傳奇遊戲進程則到地址http://*9.vc/h**q.jpg讀取下載列表。

  7.創建注冊表項HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},實現隨系統啓動。
 
病毒名稱(中文): 網遊盜號木馬397312 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 87024 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個可盜取多個網絡遊戲帳號的木馬下載器。它具備一定的對抗能力,會查找並關閉一些主流安全軟件的進程。病毒注入系統進程,搜索電腦中已安裝的網絡遊戲,然後下載相應的的盜號木馬執行盜號。 1.病毒運行後枚舉當前系統內進程,當發現指定安全工具進程和遊戲進程時利用TerminateProcess結束這些進程,但目前殺毒軟件自保護功能多能反抗這種攻擊。 2.創建線程監視系統窗口,發現殺毒軟件提示病毒窗口時,通過發送關閉消息和模擬鼠標點擊來使殺軟放行。 3.釋放文件%windows%\Fonts\codoor0.dll,文件創建時間設置的和系統文件explorer.exe一致,以隱藏自身。 4.在注冊表添加如下項:HKEY_CLASSES_ROOT\CLSID\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},在其下添加幾個路徑鍵值。 5.載入%windows%\Fonts\codoor0.dll,該DLL載入後查詢病毒在注冊表所添加的相應項,獲取文件路徑等信息。 6.該DLL在explorer.exe創建遠程線程,按上一步查詢所獲取路徑刪除病毒原文件,監視系統內遊戲進程,記錄到%system32%\game.ini,並根據相應遊戲進程選擇下載相應盜號木馬。如發現傳奇遊戲進程則到地址http://*9.vc/h**q.jpg讀取下載列表。 7.創建注冊表項HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},實現隨系統啓動。
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
  免責聲明:本文僅代表作者個人觀點,與王朝網絡無關。王朝網絡登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
© 2005- 王朝網路 版權所有