Win32.Troj.EncodeIe.ao.159744
2008-08-11 20:24:53 来源:WEB开发网核心提示:病毒名称(中文):传奇盗号下载器159744病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:159744影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:此病毒是一个网游盗号木马,它会盗窃《传奇》的帐号密码,Win32.Troj.EncodeIe.ao.159744,
病毒名称(中文):
传奇盗号下载器159744
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 159744
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 159744
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
此病毒是一个网游盗号木马。它会盗窃《传奇》的帐号密码,同时还会下载其它木马到用户电脑中运行。
1. 当加载本DLL时加载msvcrt.dll以及自身
2. 检查是否由explorer.exe加载,若不是则找到顶部窗口的句柄,然后将自身注入进去,创建线程执行;
3. 检查是否被360safe.exe或者KWatch.exe加载,若是则将360和金山监控关闭
4. 在以下注册表中添加一个字符串项,名称为AppInit_Dlls,值为当前的dll名,一般为SDDynDll.dll、SDDynDl1.dll、SDDynDl2.dll、SDDynDl3.dll
HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Windows
5. 检查是否注入到mir1.dat进程,即是传奇的进程,得到用户信息,将其保存到c:\cqit_log.txt,从%system%\msoscqit.dat读取网址下载到内存运行
更多精彩
赞助商链接