Win32.Troj.OnlineGames.ms

Win32.Troj.OnlineGames.ms

病毒别名： 处理时间：2007-04-06 威胁级别：★★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个盗取"魔域"帐号的游戏木马，它用特殊的方法逃避杀毒软件的查杀，

该病毒代码上存在问题，使用户无法进入系统。

1：拷贝文件

病毒运行后，会把自己拷贝到系统目录中

C:WINDOWSsystem32wsttrs.exe

并释放一个病毒文件

C:WINDOWSsystem32wsttrs.dll (Win32.Troj.Onlinegames.nb.12288)

之后病毒体会自删除

2：添加启动项

病毒会在注册表中添加一启动项，使自己随Windows启动

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

"wsttrs" = "C:WINDOWSwsttrs.exe"

但病毒的代码上有问题，会造成用户无法看到桌面图标，只能看到一个空白的桌面。

3：关闭杀毒软件

病毒会寻找某些杀毒软件的窗口，并关闭该窗口，

如果发现杀毒软件报发现病毒的窗口则尝试向"跳过"的按键发送消息，

模拟用户点击"跳过"按键，使杀毒软件不对病毒文件进行处理。

4：盗取帐号

病毒会寻找网络游戏"魔域"的游戏进程，并使用钩子读取用户输入的游戏帐号与信息，并

把得到的信息通过wsttrs.dll文件以网站上传的方式发送到木马种植者事先指定的网站上去，使用户的游戏帐号丢失