Win32.Troj.OnlineGamesT.nr.37008分析

　　威胁级别: ★★☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 37008

　　影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

　　病毒行为:

　　这是一个网游盗号木马程序，该木马会盗取征途，完美世界等网络游戏的帐号。

　　1、释放文件

　　C:\WINDOWS\system32\auhad.cfg

　　C:\WINDOWS\system32\auhad.dll

　　C:\WINDOWS\system32\msepion.sys

　　C:\WINDOWS\system32\drivers\msaclue.sys

　　2、添加服务

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msskye]

　　"Type"=dword:00000001

　　"Start"=dword:00000002

　　"ErrorControl"=dword:00000001

　　"ImagePath"="system32\DRIVERS\msaclue.sys"

　　"DisplayName"="msskye"

　　"Description"="msskye"

　　3、将auhad.dll注入到系统中的所有进程。

　　该DLL运行后会关闭360，卡巴，瑞星，金山等等常用杀毒软件。

　　该DLL还会将盗得的帐号通过网络发送给黑客。

　　如果该木马的服务程序被删了，或者服务程序的注册表键值被删除了，该DLL会将其恢复。

　　4、启动服务msaclue.sys

　　这个服务监视进程的启动，并抢在即将启动的进程运行之前将病毒代码写入到进程空间，然后运行该病毒代码。

　　病毒代码会通过读写游戏进程的内存，取得玩家的帐号密码。