征途盗贼10768

Win32.PSWTroj.Onlinegame.dz.10768

病毒名称(中文):征途盗贼10768

病毒别名:

威胁级别:

★☆☆☆☆病毒类型:

偷密码的木马病毒长度:

10768影响系统:

WinNT Win2000 WinXP

病毒行为:

这是一个盗取网络游戏《征途》帐号信息的盗取木马.病毒会在系统文件夹下的 system32 目录释放用于盗号的病毒文件.该病毒文件注入 explorer.exe 进程.病毒会不断重写自身的注册表启动项.

运行后释放的病毒文件:

%systemroot%system32ztfree0.dll

病毒文件 ztfree0.dll 注入 explorer.exe 进程.

病毒不断重写注册表启动项,以防自身的启动项被删除,防止病毒在重启后不运行.

判断病毒文件是否注入到 zhengtu.dat 进程.如是,则开始进行盗号操作.(通过读取 zhengtu.dat 进程的内存盗取帐号信息)

病毒创建注册表:

HKEY_CLASSES_ROOTCLSID{E952B8F8-4EDD-851C-D91A-EE1A0F944469}

HKEY_CLASSES_ROOTCLSID{E952B8F8-4EDD-851C-D91A-EE1A0F944469} ztDllModuleName "%systemroot%system32ztfree0.dll"

HKEY_CLASSES_ROOTCLSID{E952B8F8-4EDD-851C-D91A-EE1A0F944469} ztSobjEventName "PASDERQRSAEEAZT_0"

HKEY_CLASSES_ROOTCLSID{E952B8F8-D91A-4EDD-851C-EE1A0F944469}

HKEY_CLASSES_ROOTCLSID{E952B8F8-D91A-4EDD-851C-EE1A0F944469}InprocServer32 @ "%systemroot%system32ztfree0.dll"

病毒通过注册表创建自启动:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks {E952B8F8-D91A-4EDD-851C-EE1A0F944469} "zt is hook"

成功盗取网络游戏《征途》的帐号信息后,将盗取所得的信息发送到以下地址:

hxxp://www.we***.org/o***nd/zt/lin.asp?srv=?&id=?&p=?&s=?&ss=?&js=?&gj=?&dj=?&yz=?(锭)?(两)?(文)&pc=[用户的计算机名]