盜號木馬,病毒在 system32 目錄下釋放病毒檔案,並創建註冊表啟動項,以達到病毒開機自啟動。病毒通過創建執行緒不斷修改註冊表,禁用"系統自動更新"和"系統防火牆"兩個功能,會通過記憶體讀寫的方式盜取客戶計算機上網路遊戲《刀劍》的帳號信息。
基本介紹
- 中文名:斷網病毒下載器
- 外文名:Win32.Troj.OnlineGames. d z.77824
- 詞語分類:計算機用語
- 威脅級別:★
- 病毒類型:木馬
- 影響系統:WinNT Win2000 WinXP
簡介,病毒行為,
簡介
Win32.Troj.OnlineGames. d z.77824
病毒名稱(中文):斷網病毒下載器
病毒別名:
威脅級別:
★☆☆☆☆病毒類型:
偷密碼的木馬病毒長度:
77824影響系統:
WinNT Win2000 WinXP
病毒行為
病毒運行後把自身拷貝至:
%windir%\system32\sidjaaz.exe
並釋放病毒檔案:
%windir%\system32\sidjacs.dll
%windir%\system32\sidjazy.dll
%windir%\Fonts\cadaafx.fon
病毒添加註冊表啟動項:
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Value:"{18847374-8323-FADC-B443-4732ABCD3781}"
Data:"sidjazy.dll"
病毒添加註冊表:
Key:HKEY_CLASSES_ROOT\CLSID\{18847374-8323-FADC-B443-4732ABCD3781}\InprocServer32
Value:"@"
Data:"%windir%\system32\sidjazy.dll"
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18847374-8323-FADC-B443-4732ABCD3781}\InprocServer32
Value:"@"
Data:"%windir%\system32\sidjazy.dll"
病毒修改註冊表:
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Value:"AppInit_DLLs"
Before Data:""
After Data:"sidjazy.dll"
查找計算機上的 system32 目錄下是否存在 "verclsid.exe" 檔案,有則創建批處理檔案刪除。
