病毒名称(中文):
盗号木马14064
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
1064960
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个网游盗号木马的变种。它会在磁盘中释放出文件、修改注册表。记录下用户输入的帐号信息,然后发送给指定的网址。
在磁盘中释放出以下文件:
C:\WINDOWS\TEMP\lea0999.tmp
在注册表中创建了以下信息:
"HKCR\CLSID\{3A908760-8000-4000-A000-9000322145A3}\InprocServer32"
在注册表中设置了以下信息:
"HKCR\CLSID\{3A908760-8000-4000-A000-9000322145A3}\InprocServer32""""C:\WINDOWS\SYSTEM32\akjsckaq.dll"
"HKCR\CLSID\{3A908760-8000-4000-A000-9000322145A3}\InprocServer32""ThreadingModel""Apartment"
病毒会连接作者指定的网址:
域名:"42.*2.241.118"端口:80(TCP)
42.*2.241.118/image/logo.jpg?queryid=80142
在系统中创建了以下进程:
[SeDebugPrivilege]权限被病毒使用了
病毒会枚举系统进程,会对一些安全进程进行关闭操作
