基本介紹
- 中文名:Trojan-PSW.Win32.OLGames.kok
- 感染對象:98/ME/2000/XP/2003
- 傳播途徑:網頁木馬、檔案捆綁
- 技術細節:病毒修改的註冊表項
- 性質:木馬
- 預防:打好漏洞補丁,更新防毒軟體
病毒名稱,病毒症狀,病毒分析,感染對象,傳播途徑,YissAi建議,
病毒名稱
Trojan-PSW.Win32.OLGames.kok
病毒症狀
病毒分析
該樣本程式被激活後,釋放檔案noks.exe到c:\Program Files\目錄下作為主體執行;noks.exe被執行後拷貝系統檔案wsock32.dll到%systemroot%\map目錄下重命名為88x600.nmp,釋放檔案到%systemroot%目錄下命名為533931L.exe並執行;釋放 533931WL.DLL,並通過遠程執行緒的方式將其注入到explorer.exe進程中,獲取視窗名稱為“GAMECLIENT”進程ID,通過讀取進程記憶體的方式獲取“遊戲賬號”、“POP賬號”、“身上裝備”、“包裹裝備”以及“倉庫六位密保”等多種玩家私人信息;載入偽裝的88x600.nmp初始化socket,將獲取到信息傳送給黑客。
感染對象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、檔案捆綁
YissAi建議
1、不要在不明站點下載非官方版本的軟體進行安裝,避免病毒通過捆綁的方式進入您的系統。
3、開啟windows自動更新,及時打好漏洞補丁。
技術細節
病毒修改的註冊表項:
項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:WINSYSW
數據:c:\windows\533931l.exe
