Win32.Troj.OnlineGamesT.hl.77824,是一款木馬程式,病毒長度是11616。
基本介紹
- 外文名:Win32.Troj.OnlineGamesT.hl.77824
- 病毒類型:木馬程式
- 病毒長度::11616
- 影響系統::Win9xWinNT
病毒行為
這是一個網路遊戲盜號木馬。病毒運行後先將自身複製至系統資料夾,然後釋放病毒檔案,生成啟動項,注入桌面進程,監控網路遊戲大話西遊進程是
否存在,存在則開始盜取記憶體中用戶帳號和密碼信息,然後傳送至遠程伺服器。
另外,該病毒還會破壞LSP網路協定鏈,強制刪除病毒檔案可能造成用戶無法上網。
1.病毒運行後將自身複製至
%sys32dir%\AVPDH.EXE
並釋放以下檔案
%sys32dir%\AVPDH.DAT
%sys32dir%\mscomm.dll
%sys32dir%\mssock.sys
最後用批處理刪除自身
2.生成啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunAVPDH"%sys32dir%\AVPDH.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000012
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000013
3.修改註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\00000000001
~
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011
4.破壞LSP網路協定鏈,強制刪除病毒檔案可能造成用戶無法上網
5.注入桌面進程,盜取網路遊戲大話西遊用戶帳號密碼,然後傳送至遠程伺服器
