Win32.PSWTroj.OnLineGames.lo分析

　　威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 462129

　　影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

　　病毒行为:

　　这是一个捆绑的网游盗号木马。该程序会增加浏览器插件，并设为自启动，当用户打开浏览器时会自动弹出Windows系统医生

　　，误导用户点击扫描，实际上运行了网游的盗号木马，该木马可以搜索多种网游的登录窗口，然后获取登录信息。

　　1.程序运行后，生成文件

　　%Program Files%\xerox\Windows.exe

　　%Windows%\Debug\B831406A9770.dll

　　%Windows%\Debug\B831406A9770.exe

　　2.在注册表中添加了注册项，如下：

　　HKEY_CLASSES_ROOT\CLSID\{291FABA8-CB00-488C-AC9E-B457FFC4A117}\InProcServer32

　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{291FABA8-CB00-488C-AC9E-B457FFC4A117}\InProcServer32

　　启动项名：@ 对应路径："C:\WINDOWS\Debug\B831406A9770.dll"

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\EXE

　　启动项名:EXE 对应路径:原文件本身路径

　　3.木马会依赖IE启动，每次随着IE启动，Windows系统医生则自动弹出。

　　4.木马的dll文件会自动加载到所有进程中。

　　5.该病毒主要是借Windows系统医生伪装自己盗取多种网游帐号信息。