Win32.Hack.UpackT.a.15981

病毒名稱(中文): 熱血江湖盜號木馬15981 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 15981 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該木馬是該盜號木馬群的變種之一。它是網絡遊戲《熱血江湖》的盜號木馬。病毒會盜取遊戲賬號信息，並通過網頁提交的方式發送到木馬種植者手上。 1.生成文件: %sys32dir%\msepion.sys %sys32dir%\drivers\msyecp.sys %sys32dir%\xjxr.cfg %sys32dir%\xjxr.dll 2.生成注冊表啓動項: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertk HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertk Type dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertk Start dword:00000002 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertk ErrorControl dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertk ImagePath hex(2):73,79,73,74,65,6d,33,32,5c,64,72,69,76,65,72,73,5c,6d,73,79,65,63,70,2e,73,79,73,00, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertk DisplayName "msertk" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertk Description "msertk" 3.病毒運行後會把xjxr.dll加載到系統進程當中. 4.病毒會通過讀取內存的方式來盜取網絡遊戲<熱血江湖>的賬號和密碼. 5.病毒運行後會cmd命令來實現自刪除. 6.病毒會把盜取到的賬號和密碼通過網頁提交的形式發送到以下網址: http://www.******.cn/yblin.asp