Win32.Troj.OnlineGames.dz.77824

病毒通過創建執行緒不斷修改註冊表，禁用"系統自動更新"和"系統防火牆"兩個功能，會通過記憶體讀寫的方式盜取客戶計算機上網路遊戲《刀劍》的帳號信息。

病毒運行後把自身拷貝至:

%windir%\system32\sidjaaz.exe

並釋放病毒檔案:

%windir%\system32\sidjacs.dll

%windir%\system32\sidjazy.dll

%windir%\Fonts\cadaafx.fon

病毒添加註冊表啟動項:

Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

Value:"{18847374-8323-FADC-B443-4732ABCD3781}"

Data:"sidjazy.dll"

病毒添加註冊表:

Key:HKEY_CLASSES_ROOT\CLSID\{18847374-8323-FADC-B443-4732ABCD3781}\InprocServer32

Value:"@"

Data:"%windir%\system32\sidjazy.dll"

Key:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18847374-8323-FADC-B443-4732ABCD3781}\InprocServer32

Value:"@"

Data:"%windir%\system32\sidjazy.dll"

病毒修改註冊表:

Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Value:"AppInit_DLLs"

Before Data:""

After Data:"sidjazy.dll"

查找計算機上的 system32 目錄下是否存在 "verclsid.exe" 檔案,有則創建批處理檔案刪除。

創建批處理檔案刪除以下目錄下的所有 cfg 後綴名的檔案:

C:\Program Files\NetMeeting\

D:\Program Files\NetMeeting\

%windir%\system32\

創建執行緒不斷修改註冊表,禁用"系統自動更新"和"系統防火牆"兩個功能。

通過讀寫記憶體的方式盜取客戶計算機上的網路遊戲《刀劍》的帳號信息。