Win32.PSWTroj.XYOnline.ok.4078

病毒名稱

盜號下載器4078

威脅級別

★☆☆☆☆

病毒類型

偷密碼的木馬

病毒長度

4078

影響系統

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為

這是一個盜號木馬下載器。該病毒運行後,會立即從網路上下載大量的病毒,盜取用戶的遊戲帳號。
1.病毒運行後
1 釋放檔案%tmp%\LYLOADER.EXE, 並創建進程LYLOADER.EXE
2.LYLOADER.EXE運行後
1 刪除原病毒
2 釋放檔案
%tmp%\LYMANGR.DLL
%systemroot%\system32\LYMANGR.DLL
%tmp%\MSDEG32.DLL
%systemroot%\system32\MSDEG32.DLL
3 添加註冊表啟動
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
4 注入DLL
將%systemroot%\system32\LYMANGR.DLL注入到SERVICES.EXE中, 如果系統不存在SERVICES.EXE進程, 則注入到EXPLORER.EXE中
3.LYMANGR.DLL在遠程進程中運行後
1 下載病毒檔案Verify.exe, 並運行
2 如果找到my.exe進程, 則將%systemroot%\system32\MSDEG32.DLL注入到MY.EXE中
4.Verify.exe運行後
1 釋放檔案%tmp%\LYLOADMR.EXE, 並創建進程LYLOADMR.EXE
5.LYLOADMR.EXE運行後
1 刪除Verify.exe
2 釋放檔案
%tmp%\SHQMANGR.DLL
%tmp%\SHQ.DLL
3 添加註冊表啟動項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
4 注入DLL
將%systemroot%\system32\SHQMANGR.DLL注入到SERVICES.EXE中, 如果系統不存在SERVICES.EXE進程, 則注入到EXPLORER.EXE中
6.SHQMANGR.DLL在遠程進程中運行後
1 注入DLL
將%tmp%\SHQ.DLL注入到以下進程中, 盜取遊戲帳號, 並通過提交表單的形式傳送到病毒作者的網站
GAME.EXE
gameclient.exe
china_login.mpr
cq.exe
elementclient.exe
Conquer.exe
gc.exe
metin2.bin
HYO.exe
2 通過讀寫進程的記憶體, 盜取遊戲帳號

相關詞條

相關搜尋

熱門詞條

聯絡我們