Win32.Troj.mir2WLHA
病毒别名:
处理时间:
威胁级别:★
中文名称:蔚蓝海岸传奇2木马
病毒类型:木马
影响系统:win9X/WinNT/Win2000/WinXP/Win2003
病毒行为:
传奇木马类
编写工具:Borland Delphi 6.0 - 7.0
传染条件:
发作条件:用户使用传奇客户端,进行游戏
系统修改:
A、将自身复制到系统安装目录下:
%SystemRoot%win9x.exe
B、在注册表主键:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下键值:
"win9x.exe" = "win9x.exe"
发作现象:
A、当感染机器打开传奇2后,该木马会记录用户的帐号、密码、分区,并记录账号内人物的相关信息。
B、木马将这些信息发送到http://www.sea99.com/mir1/login.asp脚本文件中。可能木马的开发者会对此信息进行保存。
C、asp脚本,再将此信息转发给,木马的使用者指定的信箱。信件的格式如下
新疆电信(57区)【385,310:2】长河(新疆)
账号:XXXXXXX
密码:XXXX
分区:XX区
服务器:XXX
第一人物名称:XXX
第一人物职业:XXX
第一人物等级:XX级
第二人物名称:XXXX
第二人物职业:XXX
第二人物等级:XX级
随身装备:XXX/XX/XXX
特别说明:
此木马不光使用者可以得到感染机器的传奇信息,木马的开发者也同时会得知,不排除开发者会对有极品装备帐号进行特殊的处理