征途盗贼10768
Win32.PSWTroj.Onlinegame.dz.10768
病毒名称(中文):征途盗贼10768
病毒别名:
威胁级别:
★☆☆☆☆病毒类型:
偷密码的木马病毒长度:
10768影响系统:
WinNT Win2000 WinXP
病毒行为:
这是一个盗取网络游戏《征途》帐号信息的盗取木马.病毒会在系统文件夹下的 system32 目录释放用于盗号的病毒文件.该病毒文件注入 explorer.exe 进程.病毒会不断重写自身的注册表启动项.
运行后释放的病毒文件:
%systemroot%system32ztfree0.dll
病毒文件 ztfree0.dll 注入 explorer.exe 进程.
病毒不断重写注册表启动项,以防自身的启动项被删除,防止病毒在重启后不运行.
判断病毒文件是否注入到 zhengtu.dat 进程.如是,则开始进行盗号操作.(通过读取 zhengtu.dat 进程的内存盗取帐号信息)
病毒创建注册表:
HKEY_CLASSES_ROOTCLSID{E952B8F8-4EDD-851C-D91A-EE1A0F944469}
HKEY_CLASSES_ROOTCLSID{E952B8F8-4EDD-851C-D91A-EE1A0F944469} ztDllModuleName "%systemroot%system32ztfree0.dll"
HKEY_CLASSES_ROOTCLSID{E952B8F8-4EDD-851C-D91A-EE1A0F944469} ztSobjEventName "PASDERQRSAEEAZT_0"
HKEY_CLASSES_ROOTCLSID{E952B8F8-D91A-4EDD-851C-EE1A0F944469}
HKEY_CLASSES_ROOTCLSID{E952B8F8-D91A-4EDD-851C-EE1A0F944469}InprocServer32 @ "%systemroot%system32ztfree0.dll"
病毒通过注册表创建自启动:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks {E952B8F8-D91A-4EDD-851C-EE1A0F944469} "zt is hook"
成功盗取网络游戏《征途》的帐号信息后,将盗取所得的信息发送到以下地址:
hxxp://www.we***.org/o***nd/zt/lin.asp?srv=?&id=?&p=?&s=?&ss=?&js=?&gj=?&dj=?&yz=?(锭)?(两)?(文)&pc=[用户的计算机名]