Win32.PSWTroj.OnlineGames.14848是一款偷密碼的木馬,病毒在客戶計算機上成功運行後刪除自身。
基本介紹
- 外文名:Win32.PSWTroj.OnlineGames.14848
- 威脅級別:★☆☆☆☆
- 病毒類型:偷密碼的木馬
- 病毒長度:14848
計算機病毒,病毒行為,添加註冊表,
計算機病毒
病毒名稱(中文): 病毒別名:
病毒:Win32.PSWTroj.OnlineGames.14848
影響系統: WinNTWin2000WinXP
病毒行為
病毒生成的"LYMANGR.dll"檔案會枚舉客戶計算機上的進程,查找網路遊戲"夢幻西遊"的進程my.exe。再枚舉該進程的模組,如沒有發現另
一個檔案MSDEG32.dll則通過寫記憶體的方式把該病毒檔案注入到my.exe里。
在客戶計算機上創建了socket並綁定到"2*2.1*9.2*4.1*3"。
比較客戶計算機上的"夢幻西遊"遊戲目錄下的update.ini檔案里的版本號是否等於1.5.120。
盜取客戶計算機上的網路遊戲"夢幻西遊"的遊戲賬號信息並傳送到指定的接收網址。
添加檔案:
%SystemRoot%\system32\LYLOADER.exe
%SystemRoot%\system32\LYMANGR.dll
%SystemRoot%\system32\MSDEG32.dll
添加註冊表
鍵名:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
名字:MSDEG32
數據:"LYLoader.exe"
鍵名:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
名字:MSDWG32
數據:"LYLoadbr.exe"
鍵名:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
名字:MSDCG32
數據:"LYLeador.exe"
鍵名:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
名字:MSDOG32
數據:"LYLoador.exe"
鍵名:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
名字:MSDSG32
數據:"LYLoadar.exe"
鍵名:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
名字:MSDMG32
數據:"LYLoadmr.exe"
鍵名:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
名字:MSDHG32
數據:"LYLoadhr.exe"
鍵名:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
名字:MSDQG32
數據:"LYLoadqr.exe"
