Win32.Troj.Undef.11776

病毒名稱(中文): 倚天對抗盜號器11776 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 11776 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個盜號木馬程序，該程木馬會盜取網絡遊戲《倚天2》帳號，關閉殺毒軟件。 1、釋放文件 %systemroot%\SoftwareDistribution\Uninstall.bin %systemroot%\system32\cryptnet21.dll %systemroot%\\system32\\NvCpl64.dll %systemroot%\\system32\\IPv6.dll %systemroot%\\system32\\WinXP.bmp %systemroot%\\system32\\drivers\\ReSSDT.sys 在每個分區的根目錄下生成 Thumbs.lnk AutuRun.inf 2、添加注冊表啓動項 HKLM\SOFTWARE\Microsoft\windows\currentversion\run NvCpl="rundll32.exe%systemroot%\\system32\\NvCpl64.dll,NvStartup" HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows AppInit_DLLs="%systemroot%\\system32\\IPv6.dll" 將"%systemroot%\\system32\\WinXP.bmp" 添加到BHO中。BHO名字爲Thunder5BHO CLSID爲{00000231-1000-0010-8000-00AA006D2EA4} 3、躲避殺毒軟件查殺 關閉窗口標題帶有以下要害字的窗口 Monitor,Sysinternals,Watcher,監視,360,木馬,code1984,巡警,衛士 釋放驅動%systemroot%\\system32\\drivers\\ReSSDT.sys恢複SSDT，對抗主動防禦 關閉360進程 4、當有新的存儲設備接入電腦時，在其根目錄下生成 Thumbs.lnk AutuRun.inf 5、利用鼠標挂鈎注入DLL到系統中的所有進程。 6、盜取《倚天2》的帳號 通過查找遊戲內存的特征指令，補丁遊戲的內存，盜取帳號