Win32.Troj.OnlineGamesT.nr.98396
病毒名称(中文):
破防盗号者98396
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
98396
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取多款网游密码的盗号木马。该木马会突破杀毒软件的主动防御,关闭杀毒软件进程。注入游戏进程,从中读取游戏玩家的帐号信息,然后发送给木马种植者。
1、释放文件
C:\WINDOWS\system32\naijoad.dll
C:\WINDOWS\system32\drivers\msacpe.sys
naijoad.dll被注入到系统的每个进程。
msacpe.sys被启动。msacpe.sys会突破杀毒软件的主动防御。
2、修改注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"="system32\DRIVERS\msacpe.sys"
"DisplayName"="mseqsy"
"Description"="mseqsy"
3、盗取游戏帐号
该木马会读取配置文件,并根据配置文件中的信息盗取征途,奇迹,魔兽,大话西游等等游戏的帐号。
最后发送盗取的信息到黑客的网站。
李成科