Win32.PSWTroj.OnlineGames.90112
病毒名称(中文):传奇盗号木马90112病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:90112影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是个针对网络游戏《热血传奇》的盗号木马。该病毒运行后,复制自身到系统文件夹,然后注入到Windows登陆管理器的进程winlogon.exe中,通过对网络数据的过滤来拦截《热血传奇》网游的数据,从中盗取帐号信息。
1.复制文件:
%sys32dir\addrcqhelp.cfg
%sys32dir\addrcqhelp.dll
%sys32dir\qdshm.dll
其中addrcqhelp.cfg为配置文件,qdshm.dll为添加到SPI的主文件,
2.添加到到注册表:
添加以下注册表项,注册为SPI,随系统开机启动:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
\000000000012]
PackedCatalogItem = "%sys32dir\qdshm.dll"
3.破坏方式
该木马运行后,复制自身到系统文件夹,并且添加相关注册表项,添加到套接字提供者接口(SPI),随系统启动后,注入到
winlogon.exe进程,查找网游《热血传奇》的进程文件“mir1.dat”,通过消息钩子拦截其网络通信数据,找到用户的帐号密码
等信息,实现盗号的功能。
4.相关网址
http://2*8.7*.1*3.2*4
注:网址信息存储在配置文件%sys32dir\addrcqhelp.cfg中
看看是不是同这种症状.
重装系统好了~还有,现在针对瑞星的杀毒软件的病毒很多,用金山要稍微好一些~~~^O^
重装系统,最好用网络巡警+江民杀毒软件
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024