xsbio.dll
Win32.PSWTroj.OnLineGames.ab.60928
病毒名稱(中文):網遊帳號貪吃蛇60928病毒別名:威脅級別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長度:60928影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
這是一個盜號木馬程式。該程式首先會尋找含有“遊戲”的視窗,然後建立訊息監視程式,截獲用戶與網遊伺服器之間的網路數據包,從而盜取用戶的帳號相關信息。
1.程式運行後,生成檔案
%WINDOWS%\System32\xsbio.dll
%WINDOWS%\System32\patch.exe
2.在註冊表中添加了註冊項,如下:
HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
啟動項名:@ 對應路徑:"C:\WINDOWS\System32\xsbio.dll"
HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
啟動項名:ThreadingModel 對應值:"Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
啟動項名:@ 對應路徑:"C:\WINDOWS\System32\patch.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32
啟動項名:ThreadingModel 對應值:"Apartment"
3.木馬會尋找互斥量"_MUTEX_AD_____LOADER ",用來判斷是否已經有木馬在運行;若沒有則會創建檔案,
調用xsbio.dll中的函式"JumpHookOn"開始工作。
4.木馬會通過尋找含有"遊戲"的視窗,然後截獲網路數據包,從而盜取網遊用戶的帳號相關信息。