Win32.PSWTroj.XYOnline.ok.4078

病毒名称盗号下载器4078

威胁级别★☆☆☆☆

病毒类型偷密码的木马

病毒长度4078

影响系统Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为这是一个盗号木马下载器。该病毒运行后，会立即从网络上下载大量的病毒，盗取用户的游戏帐号。

1.病毒运行后

1> 释放文件%tmp%LYLOADER.EXE, 并创建进程LYLOADER.EXE

2.LYLOADER.EXE运行后

1> 删除原病毒

2> 释放文件

%tmp%LYMANGR.DLL

%systemroot%system32LYMANGR.DLL

%tmp%MSDEG32.DLL

%systemroot%system32MSDEG32.DLL

3> 添加注册表启动项

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun

4> 注入DLL

将%systemroot%system32LYMANGR.DLL注入到SERVICES.EXE中, 如果系统不存在SERVICES.EXE进程, 则注入到EXPLORER.EXE中

3.LYMANGR.DLL在远程进程中运行后

1> 下载病毒文件Verify.exe, 并运行

2> 如果找到MY.EXE进程, 则将%systemroot%system32MSDEG32.DLL注入到MY.EXE中

4.Verify.exe运行后

1> 释放文件%tmp%LYLOADMR.EXE, 并创建进程LYLOADMR.EXE

5.LYLOADMR.EXE运行后

1> 删除Verify.exe

2> 释放文件

%tmp%SHQMANGR.DLL

%tmp%SHQ.DLL

3> 添加注册表启动项

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun

4> 注入DLL

将%systemroot%system32SHQMANGR.DLL注入到SERVICES.EXE中, 如果系统不存在SERVICES.EXE进程, 则注入到EXPLORER.EXE中

6.SHQMANGR.DLL在远程进程中运行后

1> 注入DLL

将%tmp%SHQ.DLL注入到以下进程中, 盗取游戏帐号, 并通过提交表单的形式发送到病毒作者的网站

GAME.EXE

gameclient.exe

china_login.mpr

cq.exe

elementclient.exe

Conquer.exe

gc.exe

metin2.bin

HYO.exe

2> 通过读写进程的内存, 盗取游戏帐号