病毒名稱(中文):
熱血江湖盜號木馬15981
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
偷密碼的木馬
病毒長度:
15981
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
該木馬是該盜號木馬群的變種之一。它是網絡遊戲《熱血江湖》的盜號木馬。病毒會盜取遊戲賬號信息,並通過網頁提交的方式發送到木馬種植者手上。
1.生成文件:
%sys32dir%\msepion.sys
%sys32dir%\drivers\msyecp.sys
%sys32dir%\xjxr.cfg
%sys32dir%\xjxr.dll
2.生成注冊表啓動項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertkTypedword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertkStartdword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertkErrorControldword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertkImagePathhex(2):73,79,73,74,65,6d,33,32,5c,64,72,69,76,65,72,73,5c,6d,73,79,65,63,70,2e,73,79,73,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertkDisplayName"msertk"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msertkDescription"msertk"
3.病毒運行後會把xjxr.dll加載到系統進程當中.
4.病毒會通過讀取內存的方式來盜取網絡遊戲<熱血江湖>的賬號和密碼.
5.病毒運行後會cmd命令來實現自刪除.
6.病毒會把盜取到的賬號和密碼通過網頁提交的形式發送到以下網址:
http://www.******.cn/yblin.asp