Win32.Troj.OnlineGamesT.ky.151552

病毒名稱(中文)：網遊盜號木馬151552

影響系統：Win9x WinMe WinNT Win2000 WinXP Win2003

發現日期：2008-4-14

病毒行為： 這是一個會盜取多個網路遊戲賬號信息的木馬程式。它通過創建註冊表啟動項開機自啟動，然後創建執行緒關閉“卡巴斯基”和“瑞星”的相關監控提示視窗，最後將 Dll 檔案注入的遊戲進程執行盜號行為。 病毒運行後會釋放以下病毒檔案: %systemroot%\SHAProc.exe %systemroot%\system32\SHAProc.dll 創建執行緒查找視窗類名為 "AVP.AlertDialog"、"AVP.Product_notification" 和視窗名為"瑞星註冊表監控提示" 的視窗,如找到 AVP 的,則模擬滑鼠點擊操作點擊"允許"通過.如找到 瑞星 的,則直接傳送系統訊息關閉. 病毒枚舉系統進程,查找 explorer.exe 進程,並把病毒檔案 %systemroot%\system32\SHAProc.dll 注入到其進程內. 病毒在系統上安裝全局鉤子,鉤子類型為: WM_MOVE. 病毒檔案 %systemroot%\system32\SHAProc.dll 判斷自身是否注入到以下進程,如是則執行相關的操作: china_login.mpr _FJLogin.bin cabalmain.exe 病毒盜取系統上的網路遊戲《破天一劍》、《風火之旅》、《驚天動地》賬號信息,並把盜取所得的賬號信息傳送至木馬種植者指定的接收網址. 病毒創建註冊表啟動項: Key: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" Value: "SHAProc" Data: "%systemroot%\SHAProc.exe" 該病毒內木馬種植者指定的接收網址: http:/ /www.d**910.com/pt**33/shou333.asp?u=##&p=##&r=##&l=##&m=##&a=##&s=##&sp=## [china_login.mpr] http:/ /www.d**910.com/pt**33/shuo333.asp?a=##&s=##&u=##&r=##&l=##&m=##&p=## [cabalmain.exe]

參考資料：http://www.viruschina.com/news/vdatabase.asp?Page=3