Win32.PSWTroj.OnlineGames.rx.135168是一個盜號木馬,它會替換掉網路遊戲《熱血江湖》的啟動檔案,使用戶通過病毒偽裝的啟動檔案進入遊戲,以盜取系統上的賬號信息,並傳送給木馬種植者。
基本介紹
- 中文名:Win32.PSWTroj.OnlineGames.rx.135168
- 外文名:熱血江湖盜號者
- 威脅級別::★☆☆☆☆
- 病毒類型::偷密碼的木馬病毒
病毒信息,病毒行為,
病毒信息
病毒名稱(中文):熱血江湖盜號者135168病毒別名:威脅級別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長度:135168影響系統:Win9xWinMe WinNT Win2000 WinXP Win2003
病毒行為
病毒運行後釋放以下病毒檔案:
%systemdrive%\RECYCLER\rrr.exe
%systemdrive%\RECYCLER\yb_men.dll
病毒並無創建或修改任何註冊表或服務啟動項.
查找視窗名為"瑞星主動防禦"的視窗,如無則運行 %systemdrive%\RECYCLER\rrr.exe.
遍歷系統所有磁碟,查找 "yb_sync.dll"和"yb_mem.dll" 兩個檔案的所在路徑.(熱血江湖遊戲檔案)
把遊戲目錄下的程式 launcher.exe 重命名為 launchar.exe,並設定 launchar.exe 的檔案屬性為"系統"和"隱藏".
病毒檔案 rrr.exe 複製至遊戲目錄下,重命名為 launcher.exe.
如中此病毒後,用戶通過雙擊 launcher.exe 會先啟動遊戲程式(已被重命名的 launchar.exe),並調用病毒檔案 %systemdrive%\RECYCLER\yb_men.dll.
病毒檔案 %systemdrive%\RECYCLER\yb_men.dll 判斷自身是否注入到以下進程:
Explorer.exe
Client.exe
如注入 Explorer.exe 進程則病毒檔案 %systemdrive%\RECYCLER\yb_men.dll 安裝全局鉤子.
如注入 Client.exe 進程則查找視窗名為"YB_OnlineClient"的視窗,通過讀取該遊戲進程的記憶體方式盜取網路遊戲《熱血江湖》的賬號信息並傳送至木馬種植者指定的接收網址.
