病毒名称(中文):
魔域对抗型盗号木马57344
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
57344
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个针对《魔域》的网游盗号木马。它自带得有一个驱动文件,用于解除一些具有所谓主动防御功能的杀毒软件的主防。当破坏了杀毒软件的正常运行后,病毒就会盗取游戏的帐号和密码。
释放以下病毒文件:
%systemroot%\system32\ttMYSMYS1053.exe
%systemroot%\system32\ttMYSMYS1053.dll
%systemroot%\system32\drivers\XNGAnti.sys
%systemroot%\system32\drivers\ReloadAnti.sys
注:XNGAnti.sys和ReloadAnti.sys两个驱动文件相同
枚举系统进程,结束360TraY.exe和soul.exe进程.(soul.exe为网络游戏《魔域》的游戏进程)
创建系统服务加载驱动文件XNGAnti.sys,通过发送控制码(22E14Bh)请求驱动执行指定操作.
创建批处理文件删除自身.
驱动文件的作用是根据程序传入的数据替换SSDT表的系统服务函数地址.(恢复被hook掉的函数)
盗取系统上的网络游戏《魔域》的帐号信息并发送至指定的接收网址.
病毒创建以下注册表项:
HKEY_CLASSES_ROOT\CLSID\{9947e423-193f-4fc4-b38d-e76fdd799150}
HKEY_CLASSES_ROOT\CLSID\{9947e423-193f-4fc4-b38d-e76fdd799150}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{9947e423-193f-4fc4-b38d-e76fdd799150}\InprocServer32@"%systemroot%\system32\ttMYSMYS1053.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{9947e423-193f-4fc4-b38d-e76fdd799150}"ttMYSMYS1053.dll"
