Win32.Troj.Dropper.m

病毒行為:

這是一個木馬釋放程式,它能釋放一個病毒到系統中,該病毒盜取遊戲賬號.

1:釋放檔案

病毒運行後,會向系統的system32目錄下釋放一個隨機名字的檔案,該檔案的檔案名稱

為隨機名,擴展名為nls,這是一個病毒,病毒名為Win32.Troj.PswGame.28160

2:病毒添加註冊表

病毒會在以下鍵值裡面

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

添加一項,把nls檔案註冊為Explorer.exe的一個擴展Shell程式,使病毒能隨Explorer.exe進程而啟動.

3:盜取遊戲賬號

病毒會盜取網路遊戲"夢幻西遊"的有關信息,如賬號,密碼伺服器,裝備等信息,並通過

http://www.*******.net/mhmail1/send.asp頁面傳送給木馬種植者,使用戶的遊戲賬號丟失.