病毒名称(中文):
网游盗号木马397312
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
87024
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个可盗取多个网络游戏帐号的木马下载器。它具备一定的对抗能力,会查找并关闭一些主流安全软件的进程。病毒注入系统进程,搜索电脑中已安装的网络游戏,然后下载相应的的盗号木马执行盗号。
1.病毒运行后枚举当前系统内进程,当发现指定安全工具进程和游戏进程时利用TerminateProcess结束这些进程,但目前杀毒软件自保护功能多能反抗这种攻击。
2.创建线程监视系统窗口,发现杀毒软件提示病毒窗口时,通过发送关闭消息和模拟鼠标点击来使杀软放行。
3.释放文件%windows%\Fonts\codoor0.dll,文件创建时间设置的和系统文件explorer.exe一致,以隐藏自身。
4.在注册表添加如下项:HKEY_CLASSES_ROOT\CLSID\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},在其下添加几个路径键值。
5.载入%windows%\Fonts\codoor0.dll,该DLL载入后查询病毒在注册表所添加的相应项,获取文件路径等信息。
6.该DLL在explorer.exe创建远程线程,按上一步查询所获取路径删除病毒原文件,监视系统内游戏进程,记录到%system32%\game.ini,并根据相应游戏进程选择下载相应盗号木马。如发现传奇游戏进程则到地址http://*9.vc/h**q.jpg读取下载列表。
7.创建注册表项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},实现随系统启动。
