病毒名称(中文):
倚天对抗盗号器11776
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
11776
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马程序,该程木马会盗取网络游戏《倚天2》帐号,关闭杀毒软件。
1、释放文件
%systemroot%\SoftwareDistribution\Uninstall.bin
%systemroot%\system32\cryptnet21.dll
%systemroot%\\system32\\NvCpl64.dll
%systemroot%\\system32\\IPv6.dll
%systemroot%\\system32\\WinXP.bmp
%systemroot%\\system32\\drivers\\ReSSDT.sys
在每个分区的根目录下生成
Thumbs.lnk
AutuRun.inf
2、添加注册表启动项
HKLM\SOFTWARE\Microsoft\windows\currentversion\run
NvCpl="rundll32.exe%systemroot%\\system32\\NvCpl64.dll,NvStartup"
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows
AppInit_DLLs="%systemroot%\\system32\\IPv6.dll"
将"%systemroot%\\system32\\WinXP.bmp"
添加到BHO中。BHO名字为Thunder5BHO
CLSID为{00000231-1000-0010-8000-00AA006D2EA4}
3、躲避杀毒软件查杀
关闭窗口标题带有以下要害字的窗口
Monitor,Sysinternals,Watcher,监视,360,木马,code1984,巡警,卫士
释放驱动%systemroot%\\system32\\drivers\\ReSSDT.sys恢复SSDT,对抗主动防御
关闭360进程
4、当有新的存储设备接入电脑时,在其根目录下生成
Thumbs.lnk
AutuRun.inf
5、利用鼠标挂钩注入DLL到系统中的所有进程。
6、盗取《倚天2》的帐号
通过查找游戏内存的特征指令,补丁游戏的内存,盗取帐号