Win32.Troj.OnlineGamesT.81920

病毒名稱(中文):

完美武林盜號者81920

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

偷密碼的木馬

病毒長度:

81920

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

該木馬是該木馬群的變種之一,網絡遊戲《完美世界》和《武林外傳》的盜號木馬.病毒運行後會衍生病毒文件到臨時文件夾路徑下,把盜取的賬號信息通過網頁提交的方式發送到木馬種植者手上

1.生成文件.

%profile%\LocalSettings\Temp\1js.dll

2.生成注冊表,增加啓動項

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00C3C710-5DF9-42C3-916E-5EE7D13D09DC}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00C3C710-5DF9-42C3-916E-5EE7D13D09DC}@"Internet"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00C3C710-5DF9-42C3-916E-5EE7D13D09DC}\InProcServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00C3C710-5DF9-42C3-916E-5EE7D13D09DC}\InProcServer32@""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00C3C710-5DF9-42C3-916E-5EE7D13D09DC}\InProcServer32ThreadingModel"Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{00C3C710-5DF9-42C3-916E-5EE7D13D09DC}

3.病毒運行後會把dll文件注入到進程當中,通過設置消息鈎子來盜取用戶的賬號資料.

4.把盜取的賬號資料通過網頁提交的方式發送到以下網址:

http://www.******.cn/htlin.asp

5.病毒運行後還會刪除自身文件.

• ·VBS.Downloader.ab.6039
• ·Win32.hack.Agent.36864
• ·播放器漏洞下載者4198
• ·Win32.TrojDownloader.Lo
• ·Win32.Troj.OnlineGamesT
• ·Win32.Hack.Pangu.a.2048
• ·Win32.Troj.Undef.11776
• ·Win32.Troj.Downloader.n
• ·Win32.Troj.Agent.208896
• ·Win32.Troj.OnlineGameT.