Win32.Troj.OnLineGames.wi.110627

核心提示：病毒名称(中文):华夏Ⅱ盗号器110627病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:110627影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:该病毒是网络游戏《华夏Ⅱonline》的盗号木马，病毒运行后会修改注册表生成启动项，Win32.Troj.OnLin

病毒名称(中文): 华夏Ⅱ盗号器110627
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 110627
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

该病毒是网络游戏《华夏Ⅱonline》的盗号木马。病毒运行后会修改注册表生成启动项，盗取游戏账号信息，并通过网页提交的方式发送到木马种植者手上。

1.生成文件.
%sys32dir%\hhrdxd.dll

2.修改注册表生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} @ "MICROSOFT"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}\InPRocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}\InProcServer32 @ "C:\WINDOWS\system32\hhrdxd.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}\InProcServer32 ThreadingModel "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} ""

3.还会生成其他的注册表键
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE
HKEY_CLASSES_ROOT\Software\Microsoft\WINDOWS
HKEY_CURRENT_USER\avs

4.病毒运行后会把dll文件注入到进程当中.

5.病毒运行后会删除病毒源文件.

6.病毒会把盗取得到的账号和密码通过网页提交的方式发送到以下网络地址:
http://www.*****99.cn/fuckmanhx/post.asp