病毒名称(中文):
网游盗号木马536072
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
183296
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游盗号木马程序。它会在磁盘中释放出文件、修改注册表,记录用户输入的类似网游帐号和密码的数据,并发送到指定的地址。还会自我更新。
在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\cgsqatyu.sys
C:\WINDOWS\SYSTEM32\tisqatyu.dll
C:\WINDOWS\SYSTEM32\posqatyu.exe
在磁盘中删除了以下文件:
C:\WINDOWS\SYSTEM32\tisqatyu.dll
C:\WINDOWS\SYSTEM32\posqatyu.exe
在注册表中创建了以下信息:
"HKCR\CLSID\{29109876-7619-9101-7012-901938475192}\InprocServer32"
在注册表中设置了以下信息:
"HKCR\CLSID\{29109876-7619-9101-7012-901938475192}\InprocServer32""""C:\WINDOWS\SYSTEM32\ietzbpaq.dll"
"HKCR\CLSID\{29109876-7619-9101-7012-901938475192}\InprocServer32""ThreadingModel""Apartment"
病毒会连接作者指定的网址:
病毒会从http://www.i****t.net/dk.txt下载文件至本地计算机C:\DNT_Temp\list.dnt
域名:"www.i****t.net"端口:80(TCP)
www.i****t.net/dk.txt
在磁盘中创建以下配置文件:
C:\WINDOWS\Win.ini[windows]"run""C:\WINDOWS\SYSTEM32\HgzServer.exe"
C:\WINDOWS\Win.ini[]""""
在系统中创建了以下进程:
病毒会枚举系统进程,可能会对一些安全进程进行关闭操作
