win32.troj.onlinegames.dz.77824
病毒名稱(中文):刀劍盜號者77824
病毒別名:
威脅級別:
★☆☆☆☆病毒類型:
偷密碼的木馬病毒長度:
77824影響係統:
winnt win2000 winxp
病毒行為:
盜號木馬,病毒在 system32 目錄下釋放病毒文件,並創建註册表啓動項,以達到病毒開機自啓動。病毒通過創建綫程不斷修改註册表,禁用"係統自動更新"和"係統防火墻"兩個功能,會通過內存讀寫的方式盜取客戶計算機上網絡遊戲《刀劍》的帳號信息。
病毒運行後把自身拷貝至:
%windir%system32sidjaaz.exe
並釋放病毒文件:
%windir%system32sidjacs.dll
%windir%system32sidjazy.dll
%windir%fontscadaafx.fon
病毒添加註册表啓動項:
key:hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorershellexecutehooks
value:""
data:"sidjazy.dll"
病毒添加註册表:
key:hkey_classes_rootclsidinprocserver32
value:"@"
data:"%windir%system32sidjazy.dll"
key:hkey_local_machinesoftwareclassesclsidinprocserver32
value:"@"
data:"%windir%system32sidjazy.dll"
病毒修改註册表:
key:hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwindows
value:"appinit_dlls"
before data:""
after data:"sidjazy.dll"
查找計算機上的 system32 目錄下是否存在 "verclsid.exe" 文件,有則創建批處理文件刪除。
創建批處理文件刪除以下目錄下的所有 cfg 後綴名的文件:
c:program files
etmeeting
d:program files
etmeeting
%windir%system32
創建綫程不斷修改註册表,禁用"係統自動更新"和"係統防火墻"兩個功能。
通過讀寫內存的方式盜取客戶計算機上的網絡遊戲《刀劍》的帳號信息。 |
|
|