Win32.Troj.OnlineGamesT.81920

病毒名稱(中文): 完美武林盜號者81920 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 81920 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該木馬是該木馬群的變種之一,網絡遊戲《完美世界》和《武林外傳》的盜號木馬.病毒運行後會衍生病毒文件到臨時文件夾路徑下,把盜取的賬號信息通過網頁提交的方式發送到木馬種植者手上 1.生成文件. %profile%\LocalSettings\Temp\1js.dll 2.生成注冊表,增加啓動項 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00C3C710-5DF9-42C3-916E-5EE7D13D09DC} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00C3C710-5DF9-42C3-916E-5EE7D13D09DC} @ "Internet" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00C3C710-5DF9-42C3-916E-5EE7D13D09DC}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00C3C710-5DF9-42C3-916E-5EE7D13D09DC}\InProcServer32 @ "" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00C3C710-5DF9-42C3-916E-5EE7D13D09DC}\InProcServer32 ThreadingModel "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {00C3C710-5DF9-42C3-916E-5EE7D13D09DC} 3.病毒運行後會把dll文件注入到進程當中,通過設置消息鈎子來盜取用戶的賬號資料. 4.把盜取的賬號資料通過網頁提交的方式發送到以下網址: http://www.******.cn/htlin.asp 5.病毒運行後還會刪除自身文件.