病毒名称(中文):
仙境传说盗号器122880
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
122880
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是网络游戏《仙境传说》的盗号木马。病毒运行后会衍生病毒文件至系统目录下,还会修改注册表生成启动项。最后盗取的账号信息并发送到木马种植者的邮箱当中。
1.生成文件.
C:\WINDOWS\Help\3394C72B3DC4.dll
C:\WINDOWS\Help\3394C72B3DC4.exe
2.修改注册表生成启动项
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}@"SSUUDL"
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32@"C:\WINDOWS\hELP\3394C72B3DC4.dll"
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32ThreadingModel"Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}""
3.病毒运行后会把dll文件注入到进程当中.
4.病毒运行后会删除病毒源文件.
5.病毒会把盗取得到的账号和密码发送到木马种植的邮箱当中.