Win32.Troj.EncodeIe.ao.159744

核心提示：病毒名称(中文):传奇盗号下载器159744病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:159744影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:此病毒是一个网游盗号木马，它会盗窃《传奇》的帐号密码，Win32.Troj.EncodeIe.ao.159744，

病毒名称(中文): 传奇盗号下载器159744
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 159744
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

此病毒是一个网游盗号木马。它会盗窃《传奇》的帐号密码，同时还会下载其它木马到用户电脑中运行。

1. 当加载本DLL时加载msvcrt.dll以及自身
2. 检查是否由explorer.exe加载，若不是则找到顶部窗口的句柄，然后将自身注入进去，创建线程执行；
3. 检查是否被360safe.exe或者KWatch.exe加载，若是则将360和金山监控关闭
4. 在以下注册表中添加一个字符串项，名称为AppInit_Dlls，值为当前的dll名，一般为SDDynDll.dll、SDDynDl1.dll、SDDynDl2.dll、SDDynDl3.dll
HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Windows
5. 检查是否注入到mir1.dat进程，即是传奇的进程，得到用户信息，将其保存到c:\cqit_log.txt，从%system%\msoscqit.dat读取网址下载到内存运行