Win32.Troj.AgentT.fm.14452
病毒名称(中文):网游盗号木马14452病毒别名:威胁级别:★★☆☆☆病毒类型:偷密码的木马病毒长度:15825影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个网游盗号木马。它运行后,会禁用Windows进行自动更新和使用防火墙,然后注入系统桌面进程Explorer.exe中,创建独立线程,在系统中搜索《诛仙》、《完美世界》、《武林外传》、《机战》、《热血传奇》等游戏的进程,注入其中盗取用户的帐号密码等信息。
1.复制文件:
%windir%Fontsswrcgac.exe
%windir%Fontsswrcgcs.dll
%windir%Fontsswrcgzc.dll
%windir%Fontswirebfw.fon
其中%windir%Fontsswrcgcs.dll、%windir%Fontswirebfw.fon为配置文件
2.添加到到注册表:
添加以下注册表项,添加到ShellExecuteHooks启动项,并且禁用Windows自动更新和防火墙:
[HKEY_CLASSES_ROOTCLSID{878A7521-FA87-34AB-34C2-4893F3AD34C8}]
指向"C:WINDOWSFontsswrcgzc.dll"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
{878A7521-FA87-34AB-34C2-4893F3AD34C8} "swrcgzc.dll"
这样添加到ShellExecuteHooks;
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
NoAutoUpdate dword:00000001
AUOptions dword:00000001
以上键值禁用了Windows自动更新;
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile]
EnableFirewall dword:00000000
该键值禁用了Windows XP SP2的防火墙。
3.破坏方式
该木马运行后,复制多个文件到系统的字体目录(%windir%Fonts),并删除自身,添加到ShellExecuteHooks项,随
Explorer.exe启动,禁用Windows自动更新Windows XP SP2的防火墙,启动后注入Explorer.exe中,创建独立线程,在
系统中搜索ElementClient.exe、TQAT.exe、mir1.dat等游戏进程相关文件,注入其中,盗取用户帐号密码等信息。