Win32.PSWTroj.OnlineGames.tm.65536

王朝百科·作者佚名 2010-03-17

病毒名称(中文):大话西游2盗号者65536病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:65536影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

该病毒是网络游戏《大话西游II》的盗号木马。它运行后会将病毒文件衍生至系统目录下，破坏系统防火墙，然后偷取游戏账号。

1.生成文件.

%Windir%system32dhapri.dll

2.生成CLSID组件

HKEY_CLASSES_ROOTCLSID{12311A42-AC1B-158F-FD32-5674345F23A1}

HKEY_CLASSES_ROOTCLSID{12311A42-AC1B-158F-FD32-5674345F23A1}InprocServer32

Default = "%Windir%system32dhapri.dll"

HKEY_CLASSES_ROOTCLSID{12311A42-AC1B-158F-FD32-5674345F23A1}InprocServer32

ThreadingModel = "Apartment"

3.生成注册表启动项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

{12311A42-AC1B-158F-FD32-5674345F23A1} = "dhapri.dll"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows

AppInit_DLLs = %Windir%system32qhbpri.dll

4.修改以下注册表使Windows自动更新失效.

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAUNoAutoUpdate

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAUAUOptions

5.修改注册表以下地方使共享文件失去防火墙保护

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileEnableFirewall

6.在系统盘根目录下生成 DeleteFileDos.bat文件实现自删除功能.

7.病毒会利用消息钩子盗取用户的账号和密码等信息,并以网页提交的方式发送到木马种植者手中.

http://w******2008.hanguoz.com/game40/post.asp