WEB开发网
开发学院网络安全病毒数据库 Win32.PSWTroj.OnLineGames.90773 阅读

Win32.PSWTroj.OnLineGames.90773

 2008-08-11 20:24:35 来源:WEB开发网   
核心提示:病毒名称(中文):仙境盗号木马90773病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:90773影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:此毒是针对网络游戏《仙境传说》的盗号木马,它利用消息钩子来盗取游戏帐号信息,Win32.PSWTroj.OnLineGa
病毒名称(中文): 仙境盗号木马90773
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 90773
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

此毒是针对网络游戏《仙境传说》的盗号木马。它利用消息钩子来盗取游戏帐号信息,并通过邮箱发送的方式发送到木马种植者手上。

1.生成文件.
C:\WINDOWS\system32\revo.exe
C:\WINDOWS\system32\revo0.dll

2.生成注册表,增加启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run kmmsoft "C:\WINDOWS\system32\revo.exe"

3.病毒运行后还会修改注册表的三个键值让隐藏文件无法显示.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dWord:00000001 dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000001 dword:00000002
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden dword:00000001 dword:00000000

4.病毒运行后会把Revo0.dll注入到进程当中,通过设置消息钩子来盗取用户的账号资料.

5.病毒运行后还会删除源文件自身.

6.把盗取的账号资料通过邮箱发送的方式发送到木马种植者手上.







Tags:Win PSWTroj OnLineGames

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接