基本介紹
- 外文名:Trojan/PSW.Mir7005.aw
- 病毒類型:木馬
- 傳播方式:網路
- 危害等級:兩星
近幾個月來,盜竊網路遊戲密碼的病毒日益猖獗,各種木馬病毒都頻繁推出變種,更新技術,企圖躲避防毒軟體的追殺。而病毒作者之間由於利益衝突也存在著尖銳的競爭關係。此次,“密碼7005” 採用了直接殺掉同類木馬的極端做法,標誌著國內木馬作者們陷入了互相火併的惡性競爭。有可能重蹈“雛鷹”和“網路天空”在今年上半年進行病毒大賽的覆轍。
江民公司提醒廣大用戶,要及時升級病毒庫,上網時開啟KV的實時監控,把您的私密信息加入KV的隱私保護功能,以免成為各種木馬病毒的受害者。
“密碼7005”具體技術特徵如下:
1. 病毒啟動後,首先查找類名和標題具有下列特徵的視窗,一旦發現就將其進程強行結束。
"#32770", "執行者5.16(獨立版)"
"TIntrenat", "intrenat"
"TNaNaDE", "Form1"
"TZhangyongPwS3", "Windows IDE"
"MyClass", "!@#$cjt%^&*"
2. 在用戶計算機中創建以下檔案:
%System%\exp1orer.exe, 69196位元組,病毒自身
%System%\inetapi32.dll, 47616位元組,滑鼠鍵盤掛鈎模組
%System%\inetapi64.dll, 67072位元組,啟動模組
%Windir%\mfcd3o.dll, 69196位元組,病毒自身
3. 把inetapi64.dll註冊成為IE組件,這樣每次系統啟動時,病毒模組inetapi64.dll都會被自動載入。該模組負責啟動病毒主程式exp1orer.exe。
4. 病毒主程式通過inetapi32.dll安裝鍵盤和滑鼠掛鈎,竊取用戶對傳奇遊戲視窗的鍵盤和滑鼠操作。主程式和掛鈎模組通過共享記憶體傳遞信息,主程式每隔1分鐘把竊取的遊戲帳號、密碼和裝備等信息通過電子郵件傳送給病毒作者。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
