概述
病毒類型:木馬
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行為:
編寫工具:Borland Delphi 6.0 - 7.0 用UPX進行壓縮。
傳染條件:網路下載
發作條件:用戶進行傳奇網路遊戲時
系統修改
A、木馬運行後會將自身複製到系統目錄下:
%System%svch0st_.exe
B、1、在註冊表主鍵:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加如下鍵值:
"svch0st_.exe" = "svch0st_.exe"
2、在註冊表主鍵:
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
修改為如下鍵值:
"Shell" = "Explorer.exe svch0st_.exe"
發作現象
A、當用戶打開遊戲後,木馬合記錄傳奇遊戲的相關信息,並將信息以下面的格式傳送到腳本網頁中:
http://IP位址?Tomail=&;gameid=&password=&quyu=&mirserver=&js1=&js1sex=&js1zy=&js1dj=&js2=&js2sex=&js2zy=&js2dj=&js2dj=
再由網頁轉發郵件
B、木馬如果發現如下視窗存在則關閉這些程式
Symantec AntiVirus 企業版
江民防毒軟體 KV2004:實時監視
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
天網防火牆個人版
特別說明:
