Win32.Troj.OnLineGames.ft.57344
病毒名称(中文):
网游盗号木马57344
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
57344
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马,它能够盗取多个网络游戏的帐号信息,停止系统上某些指定的安全服务。此外,病毒还可通过查找窗口的方式关闭卡巴斯基的警告窗口。
运行后释放以下病毒文件:
%systemroot%\MsIMMs32.exe
%systemroot%\system32\MsIMMs32.dll
创建注册表启动项:
Key:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Value:"MsIMMs32"
Data:"%systemroot%\MsIMMs32.exe"
运行后,病毒文件MsIMMs32.dll注入系统的explorer.exe进程.
停止系统上的以下服务:
KWatchSvc
KPfwSvc
McShield
DefWatch
kvsrvxp
McAfeeFramework
McTaskManager
NortonAntiVirusServer
查找"AVP.AlertDialog"窗口,如发现则发送关闭消息关闭此窗口.
病毒文件MsIMMs32.dll安装全局钩子,挂钩类型为:WH_GETMESSAGE
判定MsIMMs32.dll是否注入到以下进程:
gameclient.exe
LaTaleClient.exe
asktao.mod
cabalmain.exe
盗取系统上的《浩方对战平台》、网络游戏《彩虹岛》、《问道》、《惊天动地》的帐号信息并发送至木马种植者指定的接收网址.
盗取所得的信息按以下格式发送至木马种植者指定的网址:
http://www.3**678.cn/xxqq/wd/lin.asp?lk=##&a=##&s=##&u=##&p=##&sp=##&r=##&l=##&m=##&gc=##&sc=##
http://j*1.so****j.com/cchh/lin.asp?ks=sba5&a=##&s=##&u=##&p=##&sp=##&r=##
