Win32.PSWTroj.Nilage.114688

病毒名称网游盗号木马114688

威胁级别★☆☆☆☆

病毒类型偷密码的木马

病毒长度114688

影响系统Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为这是一个盗号木马。病毒运行后，会在后台秘密监视用户打开的窗口，盗取《征途》、《大话西游》等多种流行网络游戏玩家的帐号、密码、装备等重要游戏资料，给玩家带来损失。

病毒运行后，自我复制到系统目录下。修改注册表，实现开机自动运行。在后台秘密监视用户打开的窗口，一旦发现用户打开网络游戏的登陆窗口，立刻记录键盘和鼠标操作，盗取《征途》、《大话西游》等多种流行网络游戏玩家的帐号、密码、装备等重要游戏资料，给玩家带来损失。

1.生成文件

%Windir%Webprintersimagesfsfwqads.dll

%Windir%Webprintersimagesfsfwqads.exe

2.修改注册表,增加启动项.

HKEY_CLASSES_ROOTCLSID{BB500574-2A7D-488D-ABDA-DC3DE683913E}

HKEY_CLASSES_ROOTCLSID{BB500574-2A7D-488D-ABDA-DC3DE683913E}

@ = "OVHOOK"

HKEY_CLASSES_ROOTCLSID{BB500574-2A7D-488D-ABDA-DC3DE683913E}InProcServer32

HKEY_CLASSES_ROOTCLSID{BB500574-2A7D-488D-ABDA-DC3DE683913E}InProcServer32

@ = "C:WINDOWSWebprintersimagesfsfwqads.dll"

HKEY_CLASSES_ROOTCLSID{BB500574-2A7D-488D-ABDA-DC3DE683913E}InProcServer32

ThreadingModel = "Apartment"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

{BB500574-2A7D-488D-ABDA-DC3DE683913E} = ""

3.病毒运行后会在后台秘密监视用户打开的窗口，一旦发现用户打开网络游戏的登陆窗口，立刻记录键盘和鼠标操作，盗取《征途》、《大话西游》等多种流行网络游戏玩家的账号资料.

4.病毒运行后,会把DLL文件注入到Explorer.exe进程当中.

5.病毒会把载获到的资料以网页提交的形式发送到木马种植者手上.