病毒名称(中文):
华夏盗号器110799
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
110799
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个网游盗号木马的变种。它针对的是网络游戏《华夏Ⅱonline》。病毒运行后会盗取的账号信息,并通过网页提交的方式发送到木马种植者手上。
1.生成文件.
%sys32dir%\hhrdxd.dll
2.修改注册表生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}@"MICROSOFT"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}\InProcServer32@"C:\WINDOWS\system32\hhrdxd.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}\InProcServer32ThreadingModel"Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}""
3.还会生成其他的注册表键
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE
HKEY_CLASSES_ROOT\Software\Microsoft\WINDOWS
HKEY_CURRENT_USER\avs
4.病毒运行后会把dll文件注入到进程当中.
5.病毒运行后会删除病毒源文件.
6.病毒会把盗取得到的账号和密码通过网页提交的方式发送到以下网络地址:
http://www.*******.cn/qhxtonli/post.asp