魔兽盗贼82001
病毒名称(中文):魔兽盗贼82001病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个盗号木马程序。它能盗取《魔兽世界》的帐号信息,将偷到的玩家的账号、密码、等级、人物名称等数据发送给指定的收信地址。
1.通过特征码和窗口定位游戏。
2.释放201476D0.dll、201476D0.cfg和b1a18a3e.sys文件到%sys32dir%目录下。
3.通过HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks\\{201476D0-2B18-462E-AB9F-3E2B0CC8732B}来启动。
创建HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\d7ba6e来启动服务
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{201476D0-2B18-462E-AB9F-3E2B0CC8732B}\\InprocServer32\\
4.查找%System32%目录下的VErCLSiD.exe文件,如找到则将其删除,将自身DLL注入到进程中去。
5.获取游戏账号信息,往收信地址发信。