Win32.Troj.vaklik.397312

2008-08-14 23:08:26  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名稱(中文):

　　網遊盜號木馬397312

　　病毒別名:

　　

　　

　　威脅級別:

　　★☆☆☆☆

　　病毒類型:

　　木馬下載器

　　病毒長度:

　　87024

　　影響系統:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行爲:

　　這是一個可盜取多個網絡遊戲帳號的木馬下載器。它具備一定的對抗能力，會查找並關閉一些主流安全軟件的進程。病毒注入系統進程，搜索電腦中已安裝的網絡遊戲，然後下載相應的的盜號木馬執行盜號。

　　1.病毒運行後枚舉當前系統內進程，當發現指定安全工具進程和遊戲進程時利用TerminateProcess結束這些進程，但目前殺毒軟件自保護功能多能反抗這種攻擊。

　　2.創建線程監視系統窗口，發現殺毒軟件提示病毒窗口時，通過發送關閉消息和模擬鼠標點擊來使殺軟放行。

　　3.釋放文件%windows%\Fonts\codoor0.dll,文件創建時間設置的和系統文件explorer.exe一致，以隱藏自身。

　　4.在注冊表添加如下項：HKEY_CLASSES_ROOT\CLSID\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},在其下添加幾個路徑鍵值。

　　5.載入%windows%\Fonts\codoor0.dll，該DLL載入後查詢病毒在注冊表所添加的相應項，獲取文件路徑等信息。

　　6.該DLL在explorer.exe創建遠程線程，按上一步查詢所獲取路徑刪除病毒原文件，監視系統內遊戲進程，記錄到%system32%\game.ini，並根據相應遊戲進程選擇下載相應盜號木馬。如發現傳奇遊戲進程則到地址http://*9.vc/h**q.jpg讀取下載列表。

　　7.創建注冊表項HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},實現隨系統啓動。

 

病毒名稱(中文): 網遊盜號木馬397312 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 87024 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個可盜取多個網絡遊戲帳號的木馬下載器。它具備一定的對抗能力，會查找並關閉一些主流安全軟件的進程。病毒注入系統進程，搜索電腦中已安裝的網絡遊戲，然後下載相應的的盜號木馬執行盜號。 1.病毒運行後枚舉當前系統內進程，當發現指定安全工具進程和遊戲進程時利用TerminateProcess結束這些進程，但目前殺毒軟件自保護功能多能反抗這種攻擊。 2.創建線程監視系統窗口，發現殺毒軟件提示病毒窗口時，通過發送關閉消息和模擬鼠標點擊來使殺軟放行。 3.釋放文件%windows%\Fonts\codoor0.dll,文件創建時間設置的和系統文件explorer.exe一致，以隱藏自身。 4.在注冊表添加如下項：HKEY_CLASSES_ROOT\CLSID\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},在其下添加幾個路徑鍵值。 5.載入%windows%\Fonts\codoor0.dll，該DLL載入後查詢病毒在注冊表所添加的相應項，獲取文件路徑等信息。 6.該DLL在explorer.exe創建遠程線程，按上一步查詢所獲取路徑刪除病毒原文件，監視系統內遊戲進程，記錄到%system32%\game.ini，並根據相應遊戲進程選擇下載相應盜號木馬。如發現傳奇遊戲進程則到地址http://*9.vc/h**q.jpg讀取下載列表。 7.創建注冊表項HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},實現隨系統啓動。