中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
基本介紹
- 中文名:Win32.Troj.OnlineGames.nd
- 處理時間:2007-04-16
- 威脅級別:★
- 影響系統:Win 9x/ME,Win 2000/NT,Win XP,
病毒簡介,病毒行為分析,
病毒簡介
病毒別名:
病毒行為分析
病毒行為:
這是"夢幻西遊"的盜號木馬,它能盜取用戶的遊戲賬號,並把盜得的賬號
通過網站post的方式傳送給木馬種植者
1:拷貝與釋放檔案
病毒運行後,會把自己拷貝到臨時目錄中,如下:
%temp%\\iexpl0re.exe,並釋放一個dll
%temp%\\LgSy0.dll (Win32.Troj.OnlineGames.nd.33214)
之後病毒體會自刪除
2:更改註冊表
病毒會嘗試更改以下兩項註冊表鍵值
添加啟動項
病毒會在註冊表中添加一啟動項,使自己隨Windows啟動
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
km02fx2m = %temp%\\iexpl0re.exe
嘗試刪除以下鍵值:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
internat.exe
3:關閉防毒軟體
病毒會通過檢測標題欄的方式尋找某些防毒軟體的視窗,並向該視窗傳送退出的訊息,
如果發現防毒軟體報發現病毒的視窗時,則嘗試向"跳過"的按鍵傳送訊息,
模擬用戶點擊"跳過"按鍵,使防毒軟體不對已發現的病毒檔案進行清除.
4:盜取遊戲賬號
病毒會尋找遊戲"夢幻西遊"的遊戲視窗,並為視窗裝載訊息鉤子,讀取用戶輸入的遊戲
賬號與密碼,並連同用戶的計算機信息通過網站post的方式傳送到木馬種植者事先指定
的網站上.
