Win32.PSWTroj.XYOnline.ok.4078
病毒名称盗号下载器4078
威胁级别★☆☆☆☆
病毒类型偷密码的木马
病毒长度4078
影响系统Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为这是一个盗号木马下载器。该病毒运行后,会立即从网络上下载大量的病毒,盗取用户的游戏帐号。
1.病毒运行后
1> 释放文件%tmp%LYLOADER.EXE, 并创建进程LYLOADER.EXE
2.LYLOADER.EXE运行后
1> 删除原病毒
2> 释放文件
%tmp%LYMANGR.DLL
%systemroot%system32LYMANGR.DLL
%tmp%MSDEG32.DLL
%systemroot%system32MSDEG32.DLL
3> 添加注册表启动项
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
4> 注入DLL
将%systemroot%system32LYMANGR.DLL注入到SERVICES.EXE中, 如果系统不存在SERVICES.EXE进程, 则注入到EXPLORER.EXE中
3.LYMANGR.DLL在远程进程中运行后
1> 下载病毒文件Verify.exe, 并运行
2> 如果找到MY.EXE进程, 则将%systemroot%system32MSDEG32.DLL注入到MY.EXE中
4.Verify.exe运行后
1> 释放文件%tmp%LYLOADMR.EXE, 并创建进程LYLOADMR.EXE
5.LYLOADMR.EXE运行后
1> 删除Verify.exe
2> 释放文件
%tmp%SHQMANGR.DLL
%tmp%SHQ.DLL
3> 添加注册表启动项
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
4> 注入DLL
将%systemroot%system32SHQMANGR.DLL注入到SERVICES.EXE中, 如果系统不存在SERVICES.EXE进程, 则注入到EXPLORER.EXE中
6.SHQMANGR.DLL在远程进程中运行后
1> 注入DLL
将%tmp%SHQ.DLL注入到以下进程中, 盗取游戏帐号, 并通过提交表单的形式发送到病毒作者的网站
GAME.EXE
gameclient.exe
china_login.mpr
cq.exe
elementclient.exe
Conquer.exe
gc.exe
metin2.bin
HYO.exe
2> 通过读写进程的内存, 盗取游戏帐号