Win32.Troj.Game.muw

病毒别名： 处理时间：2006-09-06 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个盗取多款网游帐号的木马，病毒运行后会释放多个自身拷贝到硬盘中。此外，病毒会修改系统中.exe，.html文件的默认文件关联使用户无意中运行病毒；病毒会添加注册表项实现开机自启动。病毒会查找网游窗口，记录键盘信息，发送到指定邮箱。

1、病毒运行后会拷贝自身到如下目录：

c:windowslsass.exe

C:Program FilesInternet ExplorerINTEXPLORE.com

C:Program FilesCommon FilesINTEXPLORE.pif

C:windowsEXERT.EXE

C:WINDOWSsystem32dxdiag.com

C:WINDOWSsystem32

egedit.com

C:WINDOWSDebugDebugProgram.exe

2、修改.exe、.html、文件关联，当该类型文件被运行时会运行病毒文件；

[HKCRApplicationsiexplore.exeshellopencommand]

"(Default)"=""C:Program FilesInternet ExplorerINTEXPLORE.com" %1"

[HKCRCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand]

"(Default)"="C:Program FilesInternet ExplorerINTEXPLORE.com"

[HKCRhtmlfileshellopennewcommand]

"(Default)"="C:Program Filescommon~1INTEXPLORE.pif" %1"

[HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN]

"ToP"="C:WINDOWSLSASS.exe"

[HKCRWindowFilesshellopencommand]

"(Default)"="C:WINDOWSEXERT.exe "%1" %*"

删除如下注册表项：

[HKLMSystemCurrentControlSetServicesTrkWksParametersNextVolInfrequentTask]

3、安装键盘和鼠标钩子，查找游戏窗口并记录键盘信息。

4、发送信息到指定的邮箱。