病毒名称(中文):
完美盗号者57344
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
57344
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个针对《完美世界》的盗号木马。它能够破坏部分安全软件的正常运行,然后盗取游戏帐号和密码,并发送到病毒作者指定的远程地址。
释放以下病毒文件:
%systemroot%\system32\MMSADZFB1064.exe
%systemroot%\system32\MMSADZFB1064.dll
%systemroot%\system32\drivers\Hdv32.sys
%systemroot%\system32\drivers\Hdv32_.sys
注:Hdv32.sys和Hdv32_.sys两个驱动文件相同
枚举系统进程,结束360TraY.exe、rAVmOnd.exe和elementclient.exe进程.
创建系统服务加载驱动文件Hdv32.sys,通过发送控制码(22E14Bh)请求驱动执行指定操作.
创建批处理文件删除自身.
驱动文件的作用是根据程序传入的数据替换SSDT表的系统服务函数地址.(恢复被hook掉的函数)
盗取系统上的网络游戏《完美世界》的帐号信息并发送至指定的接收网址.
病毒创建以下注册表项:
HKEY_CLASSES_ROOT\CLSID\{6597043b-e1b0-46ca-8efe-7975c01c8ed8}
HKEY_CLASSES_ROOT\CLSID\{6597043b-e1b0-46ca-8efe-7975c01c8ed8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{6597043b-e1b0-46ca-8efe-7975c01c8ed8}\InprocServer32@"%systemroot%\system32\MMSADZFB1064.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{6597043b-e1b0-46ca-8efe-7975c01c8ed8}"MMSADZFB1064.dll"