Win32.Troj.OnlineGames.ms
病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
18432
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取"魔域"帐号的游戏木马,它用非凡的方法逃避杀毒软件的查杀,
该病毒代码上存在问题,使用户无法进入系统。
1:拷贝文件
病毒运行后,会把自己拷贝到系统目录中
C:\WINDOWS\system32\wsttrs.exe
并释放一个病毒文件
C:\WINDOWS\system32\wsttrs.dll(Win32.Troj.Onlinegames.nb.12288)
之后病毒体会自删除
2:添加启动项
病毒会在注册表中添加一启动项,使自己随Windows启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"wsttrs"="C:\WINDOWS\wsttrs.exe"
但病毒的代码上有问题,会造成用户无法看到桌面图标,只能看到一个空白的桌面。
3:关闭杀毒软件
病毒会寻找某些杀毒软件的窗口,并关闭该窗口,
假如发现杀毒软件报发现病毒的窗口则尝试向"跳过"的按键发送消息,
模拟用户点击"跳过"按键,使杀毒软件不对病毒文件进行处理。
4:盗取帐号
病毒会寻找网络游戏"魔域"的游戏进程,并使用钩子读取用户输入的游戏帐号与信息,并
把得到的信息通过wsttrs.dll文件以网站上传的方式发送到木马种植者事先指定的网站上去,使用户的游戏帐号丢失。
