§ 病毒别名

： 处理时间：2006-08-22 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

§ 病毒行为

:

该病毒为Windows平台下的网络在线游戏盗取游戏帐号密码的盗号型木马，病毒运行时将自身伪装成系统正常文件使用户难以察觉，然后在后台监视并记录游戏橘子的相关网游的帐号、密码，成功获取后将信息发送给病毒作者。

病毒主要通过网络欺骗方式进行传播。

1、将自身复制为以下伪系统正常程序:

%Windir%\\svchost.exe

2、释放出病毒盗号文件并生成/检测以下相关文件:

%Windir%\\system32\\pdll.dll

c:\\gameab1.txt

c:\\abc1.___

3、病毒运行后修改以下注册表项使病毒开机后自动运行:

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon】

Userinit = %Windir%\\svchost.exe

4、病毒会尝试终止以下相关杀毒软件:

ravmon.exe

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

Ravmond.exe

KVMonXP.KXP

KRegEx.exe

KVXP.KXP

5、系统为Win9x时，病毒会尝试调用"RegisterServiceProcess"隐藏病毒进程。

6、通过查找以下窗体名方式定位游戏进程、IE进程，然后获取游戏帐号密码:

https://tw.gash.ga***.com/UpdateMainAccountPassword.aspx

橘子

橘子用户

橙子密码

Internet Explorer_Server

7、网络可用时病毒连接特定的网站进行病毒自我更新。

8、获取了用户游戏帐号密码后通过发送邮件方式将信息发送给病毒作者指定的邮箱。

• 眼膛
• 眼芒
• 眼药膏
• 眼蒙蒙
• 眼蓝
• 眼藏
• 眼观六路
• 眼观四处，耳听八方
• 眼观四路，耳听八方
• 眼观鼻，鼻观心
• 眼角
• 眼诀
• 眼证
• 眼识
• 眼跳
• 眼跳之谜
• 眼跳心惊
• 等温线
• 等温过程
• 等熵压缩技术
• 等熵过程
• 等片藻属
• 等现值法
• 等由
• 等电位连接