Win32.Troj.vaklik.397312

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

网游盗号木马397312

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马下载器

病毒长度:

87024

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个可盗取多个网络游戏帐号的木马下载器。它具备一定的对抗能力,会查找并关闭一些主流安全软件的进程。病毒注入系统进程,搜索电脑中已安装的网络游戏,然后下载相应的的盗号木马执行盗号。

1.病毒运行后枚举当前系统内进程,当发现指定安全工具进程和游戏进程时利用TerminateProcess结束这些进程,但目前杀毒软件自保护功能多能反抗这种攻击。

2.创建线程监视系统窗口,发现杀毒软件提示病毒窗口时,通过发送关闭消息和模拟鼠标点击来使杀软放行。

3.释放文件%windows%\Fonts\codoor0.dll,文件创建时间设置的和系统文件explorer.exe一致,以隐藏自身。

4.在注册表添加如下项:HKEY_CLASSES_ROOT\CLSID\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},在其下添加几个路径键值。

5.载入%windows%\Fonts\codoor0.dll,该DLL载入后查询病毒在注册表所添加的相应项,获取文件路径等信息。

6.该DLL在explorer.exe创建远程线程,按上一步查询所获取路径删除病毒原文件,监视系统内游戏进程,记录到%system32%\game.ini,并根据相应游戏进程选择下载相应盗号木马。如发现传奇游戏进程则到地址http://*9.vc/h**q.jpg读取下载列表。

7.创建注册表项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},实现随系统启动。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航