病毒名称(中文):
自毁型网游盗号木马1070592
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
1070880
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游盗号木马。会在磁盘中释放出文件,会修改注册表。并注入系统进程记录用户输入的数据,使得盗号者可以从中得到游戏帐号和密码。
在磁盘中释放出以下文件:
C:\WINDOWS\system\internat.exe
C:\sample.exe.bat
C:\DOCUME~1\SANDBOX\blabla.dat
病毒运行完成后,会在磁盘中删除了自己的文件:
C:\WINDOWS\system\internat.exe
C:\WINDOWS\system\internat.exe.tmp
"c:\sample.exe"
病毒会删除自身
C:\WINDOWS\win.log
会从以下注册表中读取信息:
"HKCU\Software\Microsoft\DirectXDiagnosticTool"
病毒会连接作者指定的网址:
http://www.s***ionmm.com/102/tj.htm
域名:"www.s***ionmm.com"端口:80(TCP)
www.s***ionmm.com/102/tj.htm
在系统中创建了以下进程:
[SeDebugPrivilege]权限被病毒使用了
病毒会枚举系统进程,注入其中运行
"internat.exe"
"CMD.EXE"
"IEXPLORE.EXE"
病毒会通过网络将记录到的数据发到病毒作者指定的地址。
