Win32.Troj.GameOnlineT.xx.61440

核心提示：病毒名称(中文):问道盗号者61440病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:11264影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个针对网络游戏《问道》的盗号器，它为干扰杀毒软件的查杀，Win32.Troj.GameOnlineT.xx.6144

病毒名称(中文): 问道盗号者61440
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 11264
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个针对网络游戏《问道》的盗号器。它为干扰杀毒软件的查杀，设置了许多加密。

病毒运行之后，
首先创建一个线程，这个线程会释放出病毒资源区中名为“MSC”的文件，创建并写到C:\WINDOWS\system32\hellodon.dll中，然后打开注册表，查找HKLM:"SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows"，添加项"AppInit_DLLs"，设置值为"hellodon.dll",病毒通过这样的方式实现进程的注入，让系统执行DllMain来达到启动木马的目的，再由dll文件启动复制到C:\WINDOWS\system32下的病毒文件hellodonk.exe，这是一种很老的已经不常见的方式，

然后，进程开始查找是否存在"AskTao"（《问道》游戏）的窗口，假如找到的话，病毒会结束掉该《问道》的窗口，假如玩家不慎重，立即再登录游戏的话，便会落入该木马的圈套。
在结束掉《问道》之后，病毒会查找，创建问道游戏的map映射，然后在病毒释放出的hellodon.dll中，病毒会执行读取内存映射，对用户的游戏内存进行锁定，搜索用户的帐号密码，修改用户与服务器端的通信内容，诱使用户重复输入密码等。
这个木马并没有使用常见的OpenInternetUrl方式连接互联网，而是使用了ws2_32.dll这个dll，病毒首先复制该dll到系统Temp文件夹"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ntfast_32.dll"，然后对这个木马要用到的dll中的函数进行解密，获取到connect，send，WSASend，revc，WSArevc等大量函数的地址，在成功盗取到帐号信息后，木马再解密连接地址获得"qin*****girl.com/wenle/push.asp"和"qin*****girl.com/wendaozhe/push.asp"，在利用获得的函数地址连接到"qin*****girl.com/wenle/push.asp"和"qin*****girl.com/wendaozhe/push.asp"实现盗取信息的发送和木马的更新。
病毒自身复制到C:\WINDOWS\system32\hellodonk.exe
病毒会创建一个病毒名.bat的批处理，执行病毒源文件的删除