病毒名称: Trojan-PSW.Win32.OnLineGames.kuu
中文名称: 网游盗号木马
病毒类型: 木马
文件 MD5: D1CA82FD63C7C760CBE43A2520A28E34
文件长度: 14,703 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi v4.0 - v5.0
加壳类型: Upack 0.3.9 beta2s
病毒描述:
该病毒属木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身;修改注册表,将病毒衍生的DLL文件插入到windows应用程序进程中,禁止windows自动更新功能;该病毒可以盗取用户网络游戏的账号与密码。
行为分析:
本地行为:
1、病毒运行后删除自身,衍生病毒文件:
| %WINDIR%\Fonts\enfeafx.fon %system32%\kafyjaz.exe %system32%\kafyjcs.dll %system32%\kafyjzy.dll |
2、修改注册表:
将病毒衍生的DLL文件插入到windows应用程序进程中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows\
键值: 字串: "AppInit_DLLs "="kafyjzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{AB681598-AD5F-BC8C-77DC-748FAC8D3FBA}\InprocServer32\@
键值: 字串: "C:\WINDOWS\system32\kafyjzy.dll"
3、病毒修改注册表,禁止windows自动更新:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU\AUOptions
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU\NoAutoUpdate
值: DWORD: 1 (0x1)
4、病毒衍生的病毒文件kafyjzy.dll插入explorer.exe和应级进程中。
网络行为:
该病毒将盗取的游戏账号与密码发送到以下地址:
加密前:
| CE382424206A7F7F2727277E27313E3431687E333F3D7F242836353E3729257F203F23247E312320 |
http://www.wanda8.com/txfengyu/post.asp
专题:http://www.qqread.com/virus/o393459.html
更多内容请看木马专区、安全频道、病毒/木马/恶意软件专题,或进入讨论组讨论。
相关专题
- 木马专区 (879篇文章)
- 安全频道 (11324篇文章)
- 病毒/木马/恶意软件 (3402篇文章)
- 病毒/木马/蠕虫 (3361篇文章)
- 资深网管谈ARP欺骗类病毒的防治思路 (62次浏览)
- 拒绝当前“流行”的魔兽盗号木马进门来 (10次浏览)
- Ati2evxx logogogo最新变种分析及专杀工具 (7次浏览)
- 学学网络安全小命令 拒绝木马大病毒 (5次浏览)
- Trojan-Dropper.Win32.Agent.bgc分析清除 (1次浏览)
- 木马Backdoor.Win32.VanBot.az分析与清除 (0次浏览)
- “灰鸽子变种ZYV”远程监听控制受害电脑 (0次浏览)
- 恶意广告飘游戏公告 警惕系统已遭感染 (0次浏览)
- 警惕“黑客遥控器9728”遥控你的电脑 (0次浏览)
- Trojan.Win32.Agent.zl 分析与手动清除 (0次浏览)
