win32.troj.onlinegames.dz.77824
病毒名称(中文):刀剑盗号者77824
病毒别名:
威胁级别:
★☆☆☆☆病毒类型:
偷密码的木马病毒长度:
77824影响系统:
winnt win2000 winxp
病毒行为:
盗号木马,病毒在 system32 目录下释放病毒文件,并创建注册表启动项,以达到病毒开机自启动。病毒通过创建线程不断修改注册表,禁用"系统自动更新"和"系统防火墙"两个功能,会通过内存读写的方式盗取客户计算机上网络游戏《刀剑》的帐号信息。
病毒运行后把自身拷贝至:
%windir%system32sidjaaz.exe
并释放病毒文件:
%windir%system32sidjacs.dll
%windir%system32sidjazy.dll
%windir%fontscadaafx.fon
病毒添加注册表启动项:
key:hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorershellexecutehooks
value:""
data:"sidjazy.dll"
病毒添加注册表:
key:hkey_classes_rootclsidinprocserver32
value:"@"
data:"%windir%system32sidjazy.dll"
key:hkey_local_machinesoftwareclassesclsidinprocserver32
value:"@"
data:"%windir%system32sidjazy.dll"
病毒修改注册表:
key:hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwindows
value:"appinit_dlls"
before data:""
after data:"sidjazy.dll"
查找计算机上的 system32 目录下是否存在 "verclsid.exe" 文件,有则创建批处理文件删除。
创建批处理文件删除以下目录下的所有 cfg 后缀名的文件:
c:program files
etmeeting
d:program files
etmeeting
%windir%system32
创建线程不断修改注册表,禁用"系统自动更新"和"系统防火墙"两个功能。
通过读写内存的方式盗取客户计算机上的网络游戏《刀剑》的帐号信息。 |
|
|