病毒別名
: 處理時間:2006-08-21 威脅級別:★中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
:該病毒為Windows平台下專門針對傳奇網路遊戲的盜號型木馬,病毒運行後將自身複製至系統目錄下,並加入註冊表自啟動項,然後在後門監視用戶遊戲帳號、密碼等信息,並將信息保存為系統目錄下的特定檔案,網路可用時病毒將相關信息傳送給病毒作者,導致用戶帳號密碼丟失。
病毒主要通過網路欺騙方式進行傳播。
1、病毒運行過程中判斷自身是否為系統目錄下的".exe"檔案,不是則複製自身為以下檔案:
%Windir%\system32\.exe
然後生成"deleteme.bat"檔案,並刪除以下註冊表項,使其"deleteme.bat"可以正常運行:
【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp】
NoRealMode = value
2、病毒運行過程中生成以下盜號主程式,並且將該程式注入進程中:
%windir%\system32\MSDBRPTR32.dll
3、生成"%windir%\system32\Getspytype32_.ocx"檔案,內容如下:
【MyIniStr】
strAspUrl=
strMailAddress=
strFmail=
strSmtp=
strMname=
strMpass=
strStname=
strQQmsg=
strMSmsg=
strStartBz=
strMailSize=
PassStrs=
strMmbwl2004=
4、添加如下相關註冊表項:
【HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion】
"bwlpathb" = value
5、病毒運行過程中對應於不同的平台添加以下相關的註冊表自啟動項:
HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_CLASSES_ROOT\exefile\\shell\\open\\command
6、病毒運行後在後台監視記錄用戶傳奇遊戲帳號密碼信息,獲取後將相關信息傳送至病毒作者指定的網站或信箱。
