Win32.PSWTroj.XYOnline.ay.15950是一個木馬程式。
基本介紹
- 中文名:Win32.PSWTroj.XYOnline.ay.15950
- 類型:木馬程式
- 屬性:病毒
- 長度::15950
病毒類型,病毒行為,
病毒類型
木馬程式病毒影響系統:Win9xWinMeWin2000WinXP
病毒行為
判斷該DLL檔案是否注入到以下進程:
winlogon.exe
explorer.exe
xy2.exe
檢查客戶機上是否存在verclsid.exe該檔案,存在則創建批處理刪除.
修改註冊表關閉系統的自動更新和系統防火牆.
在客戶機上掛上鍵盤鉤子.
該木馬如果注入了xy2.exe(大話西遊II)進程,則會以複製記憶體信息的方法盜取客戶機上的賬號信息.
該木馬讀取dhapri.dll以獲取指定的傳送地址後,把獲取所得的賬號信息連線成有效URL地址傳送出去.
批處理內容如下:
@echooff
:Loop
attrib"C:\WINDOWS\SYSTEM32\VERCLSID.EXE"-r-a-s-h
del"C:\WINDOWS\SYSTEM32\VERCLSID.EXE"
ifexist"C:\WINDOWS\SYSTEM32\VERCLSID.EXE"gotoLoop
del%0
添加註冊表:
鍵名:HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}\InprocServer32
名字:""[InprocServer32的默認值]
數據:"%SystemRoot%\system32\dhapri.dll"
鍵名:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks
名字:{12311A42-AC1B-158F-FD32-5674345F23A1}
數據:"dhapri.dll"
鍵名:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
名字:Appinit_Dlls
數據:"dhapri.dll"