Win32.Troj.OnLineGames.ft.57344

病毒名称(中文):

网游盗号木马57344

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

偷密码的木马

病毒长度:

57344

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个盗号木马，它能够盗取多个网络游戏的帐号信息，停止系统上某些指定的安全服务。此外，病毒还可通过查找窗口的方式关闭卡巴斯基的警告窗口。

运行后释放以下病毒文件:

%systemroot%\MsIMMs32.exe

%systemroot%\system32\MsIMMs32.dll

创建注册表启动项:

Key:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Value:"MsIMMs32"

Data:"%systemroot%\MsIMMs32.exe"

运行后,病毒文件MsIMMs32.dll注入系统的explorer.exe进程.

停止系统上的以下服务:

KWatchSvc

KPfwSvc

McShield

DefWatch

kvsrvxp

McAfeeFramework

McTaskManager

NortonAntiVirusServer

查找"AVP.AlertDialog"窗口,如发现则发送关闭消息关闭此窗口.

病毒文件MsIMMs32.dll安装全局钩子,挂钩类型为:WH_GETMESSAGE

判定MsIMMs32.dll是否注入到以下进程:

gameclient.exe

LaTaleClient.exe

asktao.mod

cabalmain.exe

盗取系统上的《浩方对战平台》、网络游戏《彩虹岛》、《问道》、《惊天动地》的帐号信息并发送至木马种植者指定的接收网址.

盗取所得的信息按以下格式发送至木马种植者指定的网址:

http://www.3**678.cn/xxqq/wd/lin.asp?lk=##&a=##&s=##&u=##&p=##&sp=##&r=##&l=##&m=##&gc=##&sc=##

http://j*1.so****j.com/cchh/lin.asp?ks=sba5&a=##&s=##&u=##&p=##&sp=##&r=##