“傳奇盜號木馬9900”(win32.troj.lmirt.by.9900) 威脅級別:★★
病毒進入用戶的電腦係統後,在係統盤%windows%目錄下釋放出病毒文件192896m.exe和192896mm.dll,並修改係統註册表,把自己設置為隨係統啓動而自動運行。
當病毒運行起來,會迅速查找毒霸、卡巴斯基、瑞星、360安全衛士等安全軟件的進程,發現後將它們強行中止。然後在後臺連接http://www.f**3.com:7*7/這個地址,下載一個名為myunboundmb.uib的文件。這個動作對病毒的作案比較重要,因為該文件可幫助病毒繞開遊戲密保的保護。
隨後,病毒將之前生成的192896mm.dll註入到係統桌面進程explorer.exe中,查找網絡遊戲《傳奇》的進程。如果找到,就註入其中,通過讀取遊戲內存的方法獲得帳號密碼,並通過網絡發送到木馬種植者指定的地址,使用戶遭受虛擬財産的損失。 |
|
|