病毒名称(中文):
仙境盗号木马90773
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
90773
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
此毒是针对网络游戏《仙境传说》的盗号木马。它利用消息钩子来盗取游戏帐号信息,并通过邮箱发送的方式发送到木马种植者手上。
1.生成文件.
C:\WINDOWS\system32\revo.exe
C:\WINDOWS\system32\revo0.dll
2.生成注册表,增加启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runkmmsoft"C:\WINDOWS\system32\revo.exe"
3.病毒运行后还会修改注册表的三个键值让隐藏文件无法显示.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValuedword:00000001dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedHiddendword:00000001dword:00000002
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedShowSuperHiddendword:00000001dword:00000000
4.病毒运行后会把Revo0.dll注入到进程当中,通过设置消息钩子来盗取用户的账号资料.
5.病毒运行后还会删除源文件自身.
6.把盗取的账号资料通过邮箱发送的方式发送到木马种植者手上.
