Trojan.PSW.OnlineGames是一種使用Delphi編寫,並且使用UPX加殼侵入註冊表盜取遊戲世界的用戶名和密碼發至指定信箱的木馬病毒。
基本介紹
- 中文名:Trojan.PSW.OnlineGames
- 知識庫編號:RSV0707702
- 內容分類:木馬病毒
- 關鍵字:Trojan.PSW.OnlineGames
簡介,病毒分析,清除方法,
簡介
知識庫編號: RSV0707702
內容分類: 木馬病毒
適用產品分類:瑞星防毒軟體.單機版.標準版.2007
瑞星防毒軟體.單機版趨院.升級版.2007
瑞星防毒軟體.單機版.下載版.2007
關鍵字: Trojan.PSW.OnlineGames
病毒分析
病毒使用Delphi編寫,並且使用UPX加殼,病毒運行後有以下行為:
1、將自己複製到%WINDIR%目危才拒錄下灶付判整院催,檔案名稱為"exxplorer.exe"。
2、修改以下註冊表鍵值以達到其自啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
增加數據項:"exxplorer"??? 數據值為:"%WINDIR%\EXXPLORER.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
增加數據項:"exxplorer"??? 數據值為:"%WINDIR%\EXXPLORER.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改數據項:"Shell"??????? 修改後的數據值為:"Explorer.exe %WINDIR%\EXXPLORER.EXE"
3、修改系統檔案"SYSTEM.INI"以下數據項,以達到其自啟動的目的。
4、搜尋當前系統是否有名為"exxplorer"的窗體,如果有,病毒則退出。病毒通過這種方式來確保系戒估汗統中只有一個病毒檔案在運行。
5、結束某些反病毒軟體的進程。
6、記錄本地計算機的系統信息以及遊戲"傳奇世界"的帳號、密碼、伺服器地址、所屬區域等墊烏榜匙信息,並寫入註冊表"HKEY_CLASSES_ROOT\woool"鍵下。
7、將竊取的信息傳送到指定的信箱內。
