| 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.EncodeIe.ao.159744

来源:互联网  宽屏版  评论
2008-08-14 23:14:10

病毒名称(中文):

传奇盗号下载器159744

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

偷密码的木马

病毒长度:

159744

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

此病毒是一个网游盗号木马。它会盗窃《传奇》的帐号密码,同时还会下载其它木马到用户电脑中运行。

1.当加载本DLL时加载msvcrt.dll以及自身

2.检查是否由explorer.exe加载,若不是则找到顶部窗口的句柄,然后将自身注入进去,创建线程执行;

3.检查是否被360safe.exe或者KWatch.exe加载,若是则将360和金山监控关闭

4.在以下注册表中添加一个字符串项,名称为AppInit_Dlls,值为当前的dll名,一般为SDDynDll.dll、SDDynDl1.dll、SDDynDl2.dll、SDDynDl3.dll

HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Windows

5.检查是否注入到mir1.dat进程,即是传奇的进程,得到用户信息,将其保存到c:\cqit_log.txt,从%system%\msoscqit.dat读取网址下载到内存运行

病毒名称(中文): 传奇盗号下载器159744 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 159744 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 此病毒是一个网游盗号木马。它会盗窃《传奇》的帐号密码,同时还会下载其它木马到用户电脑中运行。 1. 当加载本DLL时加载msvcrt.dll以及自身 2. 检查是否由explorer.exe加载,若不是则找到顶部窗口的句柄,然后将自身注入进去,创建线程执行; 3. 检查是否被360safe.exe或者KWatch.exe加载,若是则将360和金山监控关闭 4. 在以下注册表中添加一个字符串项,名称为AppInit_Dlls,值为当前的dll名,一般为SDDynDll.dll、SDDynDl1.dll、SDDynDl2.dll、SDDynDl3.dll HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Windows 5. 检查是否注入到mir1.dat进程,即是传奇的进程,得到用户信息,将其保存到c:\cqit_log.txt,从%system%\msoscqit.dat读取网址下载到内存运行
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有