“传奇盗号木马9900”(win32.troj.lmirt.by.9900) 威胁级别:★★
病毒进入用户的电脑系统后,在系统盘%windows%目录下释放出病毒文件192896m.exe和192896mm.dll,并修改系统注册表,把自己设置为随系统启动而自动运行。
当病毒运行起来,会迅速查找毒霸、卡巴斯基、瑞星、360安全卫士等安全软件的进程,发现后将它们强行中止。然后在后台连接http://www.f**3.com:7*7/这个地址,下载一个名为myunboundmb.uib的文件。这个动作对病毒的作案比较重要,因为该文件可帮助病毒绕开游戏密保的保护。
随后,病毒将之前生成的192896mm.dll注入到系统桌面进程explorer.exe中,查找网络游戏《传奇》的进程。如果找到,就注入其中,通过读取游戏内存的方法获得帐号密码,并通过网络发送到木马种植者指定的地址,使用户遭受虚拟财产的损失。 |
|
|