科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Win32.Troj.KillAv.ae.155648 手动专杀及 病毒资料

Win32.Troj.KillAv.ae.155648 手动专杀及 病毒资料

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒名称(中文): 木马零件155648 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 155648 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

来源:论坛整理 2008年9月18日

关键字: 安全防范 病毒查杀 病毒资料

  • 评论
  • 分享微博
  • 分享邮件
病毒名称(中文): 木马零件155648 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 155648 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这个病毒属于一个盗号木马家族。它会关闭一些安全软件的进程,然后盗号。这批木马分工明确,会针对不同的游戏采用不同的盗号方式。

1.病毒被载入后首先检测自身是否处在进程explorer.exe中,确认自身被explorer.exe加载则开始执行病毒行为。

2.在explorer.exe进程内创建远程线程,将一些病毒信息写入%windir%\win.ini,创建远程线程加载
msosping00.dll。

3.修改注册表如下位置,将该dll注入系统内全部进程
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,
"AppInit_Dlls"=msosping00.dll。

4.复制自身到%Windir%\system32目录下。

5.检测已注入的进程中是否存在安全工具和杀毒软件进程,包括KWatch.exe,KPPMain.exe,360tray.exe,360safe.exe等,发现这些进程时利用TerminateProcess结束进程。

6.检测已注入的进程中是否有指定的网游进程如HX2GAME.EXE,读取游戏进程中指定的内存信息,保存在文件config.ini中,发送这些信息到指定地址,这样病毒作者就窃取到游戏用户的帐号信息。


    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章