密碼張

危害等級：★★

2004年6月23日，江民反病毒中心率先截獲“密碼張”木馬病毒的最新變種（Trojan/PSW.Zypws.al）。該病毒運用視窗訊息掛鈎和API掛鈎等技術竊取傳奇遊戲帳號密碼等信息，提交給病毒作者維護的網頁腳本。

1. 病毒運行後，將在用戶計算機中創建以下檔案：

%WinDir%\windll.exe, 118784位元組，病毒程式自身

%WinDir%\hook.dll, 18944位元組，病毒模組，用來進行訊息掛鈎和API掛鈎

%WinDir%\winsoftdll.dll, 111104位元組，病毒模組，用來嵌入到系統進程。

2. 病毒根據用戶Windows系統版本不同，分別添加不同的註冊表啟動項：

Windows 98：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"windll.exe" = windll.exe

Windows 2000/XP：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell" = explorer.exe %WinDir%\windll.exe

3. 把%WinDir%\winsoftdll.dll模組注入到EXPLORER.EXE進程中，此時病毒主程式退出。winsoftdll.dll被載入後，開啟一個計時器，每隔2秒做下面的事情：

重寫上文列出的病毒註冊表鍵值；

建立共享記憶體區，從本地傳奇遊戲檔案中偷取用戶信息，保存在共享記憶體中；

搜尋傳奇登入視窗和IE瀏覽器視窗，一旦發現它們，就調用另一個病毒模組Hook.dll對目標視窗安裝訊息掛鈎；

4. 傳奇登入視窗和IE視窗被安裝了訊息掛鈎後，對這些視窗進行的任何操作都會激活Hook.dll病毒模組。Hook.dll將對目標視窗進程的send，recv和TextOutA三個API函式進行掛鈎，此時用戶通過IE傳送接受的信息以及傳奇視窗上回顯的文字信息都會被病毒截獲。當病毒確定已經竊取到用戶的帳號、密碼等信息後，會提交給遠程網頁腳本：

http://www.shen**.org.cn/download/upfile.asp

http://www.mir**.net/inc/login.asp

5. 病毒還會從網上獲取自身的最新版本，進行自我更新。

6. 病毒代碼有“這一次你要還是能查得出來，算你狠.呵呵”，“世界上只有一個中國”等字樣。