Win32.Troj.OnlineGamesT.ky.151552是木馬類電腦病毒,用於盜取網路遊戲賬號信息。
基本介紹
- 中文名:Win32.Troj.OnlineGamesT.ky.151552
- 威脅級別:★☆☆☆☆
- 病毒類型:偷密碼的木馬
- 病毒長度:151552
病毒名稱(中文):網遊盜號木馬151552
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
發現日期:2008-4-14
病毒行為: 這是一個會盜取多個網路遊戲賬號信息的木馬程式。它通過創建註冊表啟動項開機自啟動,然後創建執行緒關閉“卡巴斯基”和“瑞星”的相關監控提示視窗,最後將 Dll 檔案注入的遊戲進程執行盜號行為。 病毒運行後會釋放以下病毒檔案: %systemroot%\SHAProc.exe %systemroot%\system32\SHAProc.dll 創建執行緒查找視窗類名為 "AVP.AlertDialog"、"AVP.Product_notification" 和視窗名為"瑞星註冊表監控提示" 的視窗,如找到 AVP 的,則模擬滑鼠點擊操作點擊"允許"通過.如找到 瑞星 的,則直接傳送系統訊息關閉. 病毒枚舉系統進程,查找 explorer.exe 進程,並把病毒檔案 %systemroot%\system32\SHAProc.dll 注入到其進程內. 病毒在系統上安裝全局鉤子,鉤子類型為: WM_MOVE. 病毒檔案 %systemroot%\system32\SHAProc.dll 判斷自身是否注入到以下進程,如是則執行相關的操作: china_login.mpr _FJLogin.bin cabalmain.exe 病毒盜取系統上的網路遊戲《破天一劍》、《風火之旅》、《驚天動地》賬號信息,並把盜取所得的賬號信息傳送至木馬種植者指定的接收網址. 病毒創建註冊表啟動項: Key: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" Value: "SHAProc" Data: "%systemroot%\SHAProc.exe" 該病毒內木馬種植者指定的接收網址: http:/ /www.d**910.com/pt**33/shou333.asp?u=##&p=##&r=##&l=##&m=##&a=##&s=##&sp=## [china_login.mpr] http:/ /www.d**910.com/pt**33/shuo333.asp?a=##&s=##&u=##&r=##&l=##&m=##&p=## [cabalmain.exe]
參考資料:http://www.viruschina.com/news/vdatabase.asp?Page=3