科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Win32.Troj.vaklik.397312 手动专杀及 病毒资料

Win32.Troj.vaklik.397312 手动专杀及 病毒资料

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒名称(中文): 网游盗号木马397312 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 木马下载器 病毒长度: 87024 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

来源:论坛整理 2008年9月19日

关键字: 安全防范 病毒查杀 病毒资料

  • 评论
  • 分享微博
  • 分享邮件
病毒名称(中文): 网游盗号木马397312 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 木马下载器 病毒长度: 87024 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个可盗取多个网络游戏帐号的木马下载器。它具备一定的对抗能力,会查找并关闭一些主流安全软件的进程。病毒注入系统进程,搜索电脑中已安装的网络游戏,然后下载相应的的盗号木马执行盗号。

1.病毒运行后枚举当前系统内进程,当发现指定安全工具进程和游戏进程时利用TerminateProcess结束这些进程,但目前杀毒软件自保护功能多能抵挡这种攻击。

2.创建线程监视系统窗口,发现杀毒软件提示病毒窗口时,通过发送关闭消息和模拟鼠标点击来使杀软放行。

3.释放文件%windows%\Fonts\codoor0.dll,文件创建时间设置的和系统文件explorer.exe一致,以隐藏自身。

4.在注册表添加如下项:HKEY_CLASSES_ROOT\CLSID\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},在其下添加几个路径键值。

5.载入%windows%\Fonts\codoor0.dll,该DLL载入后查询病毒在注册表所添加的相应项,获取文件路径等信息。

6.该DLL在explorer.exe创建远程线程,按上一步查询所获取路径删除病毒原文件,监视系统内游戏进程,记录到%system32%\game.ini,并根据相应游戏进程选择下载相应盗号木马。如发现传奇游戏进程则到地址http://*9.vc/h**q.jpg读取下载列表。

7.创建注册表项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},实现随系统启动。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章