病毒名稱(中文):網遊盜號木馬14452,威脅級別兩星,病毒類型為偷密碼的木馬病毒。
基本介紹
- 中文名:網遊盜號木馬14452
- 外文名:Win32.Troj.AgentT.fm.14452
- 威脅級別:兩星
- 病毒類型:偷密碼的木馬病毒。
病毒行為
這是一個網遊盜號木馬。它運行後,會禁用Windows進行自動更新和使用防火牆,然後注入系統桌面進程Explorer.exe中,創建獨立執行緒,在系統中搜尋《誅仙》、《完美世界》、《武林外傳》、《機戰》、《熱血傳奇》等遊戲的進程,注入其中盜取用戶的帳號密碼等信息。
1.複製檔案:
%windir%\Fonts\swrcgac.exe
%windir%\Fonts\swrcgcs.dll
%windir%\Fonts\swrcgzc.dll
%windir%\Fonts\wirebfw.fon
其中%windir%\Fonts\swrcgcs.dll、%windir%\Fonts\wirebfw.fon為配置檔案
2.添加到到註冊表:
[HKEY_CLASSES_ROOT\CLSID\{878A7521-FA87-34AB-34C2-4893F3AD34C8}]
指向"C:\WINDOWS\Fonts\swrcgzc.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{878A7521-FA87-34AB-34C2-4893F3AD34C8} "swrcgzc.dll"
這樣添加到ShellExecuteHooks;
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
NoAutoUpdate dword:00000001
AUOptions dword:00000001
以上鍵值禁用了Windows自動更新;
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
EnableFirewall dword:00000000
該鍵值禁用了Windows XP SP2的防火牆。
3.破壞方式
該木馬運行後,複製多個檔案到系統的字型目錄(%windir%\Fonts\),並刪除自身,添加到ShellExecuteHooks項,隨
Explorer.exe啟動,禁用Windows自動更新Windows XP SP2的防火牆,啟動後注入Explorer.exe中,創建獨立執行緒,在
系統中搜尋ElementClient.exe、TQAT.exe、mir1.dat等遊戲進程相關檔案,注入其中,盜取用戶帳號密碼等信息。
