該病毒是盜號木馬,專門盜竊《跑跑卡丁車》、《劍俠世界2》、《勁舞團》、《完美世界》等多款網路遊戲賬號及財富。
基本介紹
- 中文名:網遊盜號木馬152312
- 外文名:Win32.PSWTroj.OnlineGames.lo.152312
- 威脅級別:★☆☆☆☆
- 類型:病毒偷密碼的木馬
- 病毒長度:152312
簡介,病毒原理,
簡介
病毒名稱(中文):網遊盜號木馬152312
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
發現日期:2008-4-14
病毒行為:
病毒運行後會衍生檔案至系統目錄下,並修改註冊表生成啟動項.通過注入進程,設定訊息監視,截獲用戶的賬號資料並傳送到木馬種植者的手上。
病毒原理
1.生成檔案
%commonfiles%\Microsoft Shared\MSInfo\SysInfo1.dll
%commonfiles%\Microsoft Shared\MSInfo\SysInfo1.dll2
%commonfiles%\Microsoft Shared\MSInfo\wyls.exe
2.生成CLSID組件
HKEY_CLASSES_ROOT\CLSID\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
HKEY_CLASSES_ROOT\CLSID\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}
@ = ""
HKEY_CLASSES_ROOT\CLSID\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}\InProcServer32
@ = "C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo1.dll"
HKEY_CLASSES_ROOT\CLSID\{7F4D1081-25FD-44F5-99C6-FF271CFB7EC2}\InProcServer32
ThreadingModel = "Apartment"
3.生成註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {7F4D1081-25FD-44F5-99C6-FF271CFB7EC2} ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IeServer = hex(2):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,73,5c,43,6f,6d,6d,6f,6e,20,46,69,6c,65,73,5c,4d,69,63,72,6f,73,6f,66,74,20,53,68,61,72,65,64,5c,4d,53,49,4e,46,4f,5c,77,79,6c,73,2e,65,78,65,00,
4.病毒運行後會把SysInfo1.dll注入到Explorer.exe進程當中。
5.病毒運行後會刪除病毒源檔案。
6.病毒會利用訊息鉤子盜取用戶的賬號和密碼等信息,並以網頁提交的方式傳送到木馬種植者手中。
參考資料:http://www.viruschina.com/news/Vdatabase_detail.asp?id=5375
