基本介紹
- 中文名:Trojan-PSW.Win32.OLGames.jlm
- 傳播途徑:網頁掛馬,檔案捆綁
- 鍵值:Default
- 值:IGB_DJOL_1023.dll
- 項:HKCR\CLSID\\InprocServer32
- 盜取遊戲:機戰/浩方/刀劍OL
病毒分析,感染對象,
病毒分析
病毒運行後,在%systemroot%\system32下生成IGB_DJOL_1023.exe病毒主體檔案和IGB_DJOL_1023.dll檔案。接著開啟一個新的進程運行IGB_DJOL_1023.exe程式,並利用一個批處理將自身刪除,以減少病毒被用戶發現的機率。之後便修改註冊表HKCR\CLSID\\InProcServer32的(Default)的值為IGB_DJOL_1023.dll以及修改HKLM中下的explorer相關註冊表,使得病毒能夠在系統啟動時注入explorer及其開啟的各個進程中;
接著病毒將遍歷系統正在運行的進程,如果找到WoW.exe、zeroonline.exe和gameclient.exe的進程,便將其結束。待用戶重新進入遊戲時便獲取玩家的帳號和密碼。成功之後將其加密以郵件的形式通過SMTP和網頁收信空間傳送給病毒傳播者;
感染對象
Windows ME/Windows 2000/Windows XP/ Windows 2003
傳播途徑
網頁掛馬,檔案捆綁
技術細節
病毒添加的註冊表項:
項:HKCR\CLSID\\InprocServer32
鍵值: (Default)
值:IGB_DJOL_1023.dll
項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
鍵值:
值:IGB_DJOL_1023.dll
病毒所盜取的網路遊戲:
魔獸世界
機戰
浩方
刀劍OL
魔域
問道
奇蹟世界
投名狀
