内容摘要:网游盗号木马变种Trojan-PSW.Win32.OnLineGames.kuu,病毒运行后衍生病毒文件到系统目录下,删除自身,修改注册表,将病毒DLL文件插入到windows应用程序进程中……
网络行为:
该病毒将盗取的游戏账号与密码发送到以下地址:
加密前:
CE382424206A7F7F2727277E27313E3431687E333F3D7F242836353E3729257F203F23247E312320
解密后:
http://www.wanda8.com/txfengyu/post.asp
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% = C: 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
代码分析:
创建注册表CLSID值:
衍生病毒文件enfeafx.fon到系统目录%system32%下:
将ECX的值写入enfeafx.fon中:
:
衍生病毒文件kafyjzy.dll到系统目录%system32%下:
来源:IT专家网 作者:高喜宝 责编:豆豆技术应用
正在加载评论...
- 金山毒霸 2009 杀毒套装 下载 免费 试用
- 金山毒霸 9 互联网安全套装下载
- 巧用“记事本”程序让病毒白白运行
- qq盗号木马变种Trojan-PSW.Win32.QQPass.kht
- jsnndya.exe,gozowzeuisnxd.exe,dkzuimwvx.exe等的清除
- Trojan.DL.Win32.Mnless.ahy(DODOLOOK139.EXE)分析查杀
- Adware.Win32.Agent.nys(mfjdkhk.sys)查杀
- cag1ynw1.com,d32dx9.sys等恶意文件删除解决方案
- wgsfun.dll,456320.exe等cnbeta恶意木马清除解决方案
- ssrcservice.exe,ssrcservice.dll等恶意病毒清除解决方案