Win32.PSWTroj.OnlineGames.tm.65536
病毒名称(中文):大话西游2盗号者65536病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:65536影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
该病毒是网络游戏《大话西游II》的盗号木马。它运行后会将病毒文件衍生至系统目录下,破坏系统防火墙,然后偷取游戏账号。
1.生成文件.
%Windir%system32dhapri.dll
2.生成CLSID组件
HKEY_CLASSES_ROOTCLSID{12311A42-AC1B-158F-FD32-5674345F23A1}
HKEY_CLASSES_ROOTCLSID{12311A42-AC1B-158F-FD32-5674345F23A1}InprocServer32
HKEY_CLASSES_ROOTCLSID{12311A42-AC1B-158F-FD32-5674345F23A1}InprocServer32
Default = "%Windir%system32dhapri.dll"
HKEY_CLASSES_ROOTCLSID{12311A42-AC1B-158F-FD32-5674345F23A1}InprocServer32
ThreadingModel = "Apartment"
3.生成注册表启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
{12311A42-AC1B-158F-FD32-5674345F23A1} = "dhapri.dll"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
AppInit_DLLs = %Windir%system32qhbpri.dll
4.修改以下注册表使Windows自动更新失效.
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAUNoAutoUpdate
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAUAUOptions
5.修改注册表以下地方使共享文件失去防火墙保护
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileEnableFirewall
6.在系统盘根目录下生成 DeleteFileDos.bat文件实现自删除功能.
7.病毒会利用消息钩子盗取用户的账号和密码等信息,并以网页提交的方式发送到木马种植者手中.
http://w******2008.hanguoz.com/game40/post.asp