病毒名称

威胁级别

病毒类型

病毒长度

影响系统

病毒行为

病毒名称

Win32.PSWTroj.Onlinegame.dz.10768

威胁级别

病毒类型

偷密码的木马

病毒长度

10768

影响系统

WinNT Win2000 WinXP

病毒行为

这是一个盗取网络游戏《征途》帐号信息的盗取木马.病毒会在系统文件夹下的 system32 目录释放用于盗号的病毒文件.该病毒文件注入 explorer.exe 进程.病毒会不断重写自身的注册表启动项.

运行后释放的病毒文件:

%systemroot%\\system32\\ztfree0.dll

病毒文件 ztfree0.dll 注入 explorer.exe 进程.

病毒不断重写注册表启动项,以防自身的启动项被删除,防止病毒在重启后不运行.

判断病毒文件是否注入到 zhengtu.dat 进程.如是,则开始进行盗号操作.(通过读取 zhengtu.dat 进程的内存盗取帐号信息)

病毒创建注册表:

HKEY_CLASSES_ROOT\\CLSID\\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}

HKEY_CLASSES_ROOT\\CLSID\\{E952B8F8-4EDD-851C-D91A-EE1A0F944469} ztDllModuleName "%systemroot%\\system32\\ztfree0.dll"

HKEY_CLASSES_ROOT\\CLSID\\{E952B8F8-4EDD-851C-D91A-EE1A0F944469} ztSobjEventName "PASDERQRSAEEAZT_0"

HKEY_CLASSES_ROOT\\CLSID\\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}

HKEY_CLASSES_ROOT\\CLSID\\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}\\InprocServer32 @ "%systemroot%\\system32\\ztfree0.dll"

病毒通过注册表创建自启动:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks {E952B8F8-D91A-4EDD-851C-EE1A0F944469} "zt is hook"

成功盗取网络游戏《征途》的帐号信息后,将盗取所得的信息发送到以下地址:

hxxp://www.we***.org/o***nd/zt/lin.asp?srv=?&id=?&p=?&s=?&ss=?&js=?&gj=?&dj=?&yz=?(锭)?(两)?(文)&pc=[用户的计算机名]