該病毒為Win32平台下的專門針對於江山網路遊戲的盜號型木馬,病毒運行後將自身添加至系統資料夾,釋放出盜號主程式,然後在後台監視用戶帳號密碼信息,獲取帳號密碼信息後將其傳送給病毒作者指定的信箱。
基本介紹
- 中文名:Win32.Troj.PSWGamec.jc
- 處理時間:2006-08-21
- 威脅級別:★
- 病毒類型:木馬
中文名稱,傳播方式,
中文名稱
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
傳播方式
病毒主要通過軟體捆綁或欺騙方式進行傳播。
1、病毒運行時將自身複製為以下檔案:
%Windir%\system32\agetltjer.exe
2、同時在系統目錄下生成記錄檔案:
%Windir%\system32\rastuejs.dll
3、通過查找查找窗體名為"JSUpdate"或窗體名和類名都為:"江山"方式定位江山
遊戲進程。
4、在Win9x系統下,病毒調用"RegisterServiceProcess"api隱藏病毒進程。
5、病毒運行過程中終止以下相關反病毒軟體:
kav32.exe
kvsrvui.exe
symantec.exe
kvxp.kxp
pwf.exe
system.exe
iparmor.exe
kvmonxp.kxp
kavsvc.exe
kav.exe
rfwsrv.exe
rfwmain.exe
ravtimer.exe
ravstub.exe
adam.exe
ravmond.exe
ravmon.exe
6、病毒添加如下註冊表自啟動項,使病毒開機後自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
RavUpfer = c:\winnt\system32\agetltjer.exe
7、病毒獲取了遊戲賬號密碼信息後傳送信息至病毒作者指定的信箱。
