病毒名称(中文):
网游盗号木马28672
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
28672
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马。会连接指定的远程服务器,更新自己,并记录用户输入的类似网游帐号的数据,发送到病毒作者指定的地址。
在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\olemdb32.dl_
C:\WINDOWS\SYSTEM32\olemdb32.dll
在磁盘中删除了以下文件:
\suf6lng.0
\suf6lng.1
\suf6lng.2
\suf6lng.3
\suf6lng.4
\suf6lng.5
\suf6lng.6
\suf6lng.7
\suf6lng.8
\suf6lng.9
\suf6lng.10
\suf6lng.11
\suf6lng.12
\suf6lng.13
\suf6lng.14
\suf6lng.15
\suf6lng.16
\suf6lng.17
\suf6lng.18
\suf6lng.19
\suf6lng.20
\suf6lng.21
\suf6lng.22
\suf6lng.23
\suf6lng.24
\suf6lng.25
\suf6lng.26
\suf6lng.27
\suf6lng.28
\suf6lng.29
\suf6lng.30
\suf6lng.31
\suf6lng.32
\suf6lng.33
\suf6lng.34
\suf6lng.35
\suf6lng.36
\suf6lng.37
\suf6lng.38
\suf6lng.39
\suf6lng.40
\suf6lng.41
\suf6lng.42
\suf6lng.43
\suf6lng.44
\suf6lng.45
\suf6lng.46
\suf6lng.47
\suf6lng.48
\suf6lng.49
\suf6lng.50
\suf6lng.51
\suf6lng.52
\suf6lng.53
\suf6lng.54
\suf6lng.55
\suf6lng.56
\suf6lng.57
\suf6lng.58
\suf6lng.59
\suf6lng.60
\suf6lng.61
\suf6lng.62
\suf6lng.63
\suf6lng.64
\suf6lng.65
\suf6lng.66
\suf6lng.67
\suf6lng.68
\suf6lng.69
\suf6lng.70
\suf6lng.71
\suf6lng.72
\suf6lng.73
\suf6lng.74
\suf6lng.75
\suf6lng.76
\suf6lng.77
\suf6lng.78
\suf6lng.79
\suf6lng.80
\suf6lng.81
\suf6lng.82
\suf6lng.83
\suf6lng.84
\suf6lng.85
\suf6lng.86
\suf6lng.87
\suf6lng.88
\suf6lng.89
\suf6lng.90
\suf6lng.91
\suf6lng.92
\suf6lng.93
\suf6lng.94
\suf6lng.95
\suf6lng.96
\suf6lng.97
\suf6lng.98
\suf6lng.99
\suf6lng.100
\irsetup.avi
\irsetup.ini
\irsetup.dat
在注册表中创建了以下信息:
"HKCR\CLSID\{28C291DE-8EF2-4E53-ADF2-E410F3C966A3}"
"HKCR\CLSID\{28C291DE-8EF2-4E53-ADF2-E410F3C966A3}\InprocServer32"
"HKCR\.exe\UXMPRK~1.IEExtend"
"HKCR\.exe\UXMPRK~1.IEExtend\Clsid"
"HKCR\CLSID\{28C291DE-8EF2-4E53-ADF2-E410F3C966A3}\ProgID"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{28C291DE-8EF2-4E53-ADF2-E410F3C966A3}"
在注册表中设置了以下信息:
"HKCR\CLSID\{28C291DE-8EF2-4E53-ADF2-E410F3C966A3}"""""
"HKCR\CLSID\{28C291DE-8EF2-4E53-ADF2-E410F3C966A3}\InprocServer32""""C:\WINDOWS\SYSTEM32\UXMPRK~1.DLL"
"HKCR\CLSID\{28C291DE-8EF2-4E53-ADF2-E410F3C966A3}\InprocServer32""ThreadingModel""Apartment"
"HKCR\.exe\UXMPRK~1.IEExtend"""""
"HKCR\.exe\UXMPRK~1.IEExtend\Clsid""""{28C291DE-8EF2-4E53-ADF2-E410F3C966A3}"
"HKCR\CLSID\{28C291DE-8EF2-4E53-ADF2-E410F3C966A3}\ProgID""""UXMPRK~1.IEExtend"
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
病毒会连接作者指定的网址下载文件至本地计算机
在系统中创建了以下进程:
"Regsvr32.exe"
病毒会通过以下途径传播:
病毒会利用网络进行传播