這是一個針對網路遊戲《奇蹟世界》的盜號木馬。病毒發作後會破壞系統防火牆和自動更新功能的正常運行,然後注入系統進程,盜取遊戲賬號。
基本介紹
- 中文名:奇蹟世界盜號者14789
- 類屬:病毒
- 針對:《奇蹟世界》
- 類型:木馬
1.病毒會釋放以下檔案:
%SystemRoot%\system32\raqjcpi.dll
%SystemRoot%\system32\raqjcni.dll
%SystemRoot%\Fonts\chqiaur.fon
病毒運行後會將自己拷貝到 %SystemRoot%\system32\raqjctl.exe,並調用批處理不斷刪除自己.
且會在註冊表中,修改 ShellExecuteHooks 項,使每次重啟後 EXPLORER.EXE 進程自動載入 %SystemRoot%\system32\raqjcpi.dll.
2. 其中 raqjcpi.dll 是注入到其它進程的主DLL 檔案.
raqjcni.dll 和 chqiaur.fon 網站的列表,盜取密碼之後就傳送到一下網址:
http://www.*-*in.cn/bob/post.asp
3.病毒運行後修改註冊表中的防火牆和自動更新設定,使 WINDOWS 防火牆被禁用,而自動更新無法被啟用,
病毒在處理掛鈎是又不斷獲取數據,傳送數據,掛鈎..., 使用戶的機子變得巨卡無比.
