Win32.PSWTroj.XYOnline.ok.4078是一種計算機病毒,屬於木馬類別,名稱為盜號下載器4078,該病毒運行後,會立即從網路上下載大量的病毒,盜取用戶的遊戲帳號。
基本介紹
- 中文名:Win32.PSWTroj.XYOnline.ok.4078
- 病毒類型:偷密碼的木馬
- 病毒長度:4078
- 影響系統:Win9x WinMe Win2000 WinXP
- 威脅級別:★☆☆☆☆
威脅級別,病毒類型,病毒長度,影響系統,病毒行為,
威脅級別
★☆☆☆☆
病毒類型
偷密碼的木馬
病毒長度
4078
影響系統
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為
這是一個盜號木馬下載器。
1.病毒運行後
1> 釋放檔案%tmp%\LYLOADER.EXE, 並創建進程LYLOADER.EXE
2.LYLOADER.EXE運行後
1> 刪除原病毒
2> 釋放檔案
%tmp%\LYMANGR.DLL
%systemroot%\system32\LYMANGR.DLL
%tmp%\MSDEG32.DLL
%systemroot%\system32\MSDEG32.DLL
3> 添加註冊表啟動項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
4> 注入DLL
將%systemroot%\system32\LYMANGR.DLL注入到SERVICES.EXE中, 如果系統不存在SERVICES.EXE進程, 則注入到EXPLORER.EXE中
3.LYMANGR.DLL在遠程進程中運行後
1> 下載病毒檔案Verify.exe, 並運行
2> 如果找到MY.EXE進程, 則將%systemroot%\system32\MSDEG32.DLL注入到MY.EXE中
4.Verify.exe運行後
1> 釋放檔案%tmp%\LYLOADMR.EXE, 並創建進程LYLOADMR.EXE
5.LYLOADMR.EXE運行後
1> 刪除Verify.exe
2> 釋放檔案
%tmp%\SHQMANGR.DLL
%tmp%\SHQ.DLL
3> 添加註冊表啟動項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
4> 注入DLL
將%systemroot%\system32\SHQMANGR.DLL注入到SERVICES.EXE中, 如果系統不存在SERVICES.EXE進程, 則注入到EXPLORER.EXE中
6.SHQMANGR.DLL在遠程進程中運行後
1> 注入DLL
將%tmp%\SHQ.DLL注入到以下進程中, 盜取遊戲帳號, 並通過提交表單的形式傳送到病毒作者的網站
GAME.EXE
gameclient.exe
china_login.mpr
cq.exe
elementclient.exe
Conquer.exe
gc.exe
metin2.bin
HYO.exe
2> 通過讀寫進程的記憶體, 盜取遊戲帳號