| 词条 | Win32.PSWTroj.XYOnline.ok.4078 |
| 释义 | 病毒名称盗号下载器4078 威胁级别病毒类型偷密码的木马 病毒长度4078 影响系统Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为这是一个盗号木马下载器。该病毒运行后,会立即从网络上下载大量的病毒,盗取用户的游戏帐号。 1.病毒运行后 1> 释放文件%tmp%\\LYLOADER.EXE, 并创建进程LYLOADER.EXE 2.LYLOADER.EXE运行后 1> 删除原病毒 2> 释放文件 %tmp%\\LYMANGR.DLL %systemroot%\\system32\\LYMANGR.DLL %tmp%\\MSDEG32.DLL %systemroot%\\system32\\MSDEG32.DLL 3> 添加注册表启动项 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run 4> 注入DLL 将%systemroot%\\system32\\LYMANGR.DLL注入到SERVICES.EXE中, 如果系统不存在SERVICES.EXE进程, 则注入到EXPLORER.EXE中 3.LYMANGR.DLL在远程进程中运行后 1> 下载病毒文件Verify.exe, 并运行 2> 如果找到MY.EXE进程, 则将%systemroot%\\system32\\MSDEG32.DLL注入到MY.EXE中 4.Verify.exe运行后 1> 释放文件%tmp%\\LYLOADMR.EXE, 并创建进程LYLOADMR.EXE 5.LYLOADMR.EXE运行后 1> 删除Verify.exe 2> 释放文件 %tmp%\\SHQMANGR.DLL %tmp%\\SHQ.DLL 3> 添加注册表启动项 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run 4> 注入DLL 将%systemroot%\\system32\\SHQMANGR.DLL注入到SERVICES.EXE中, 如果系统不存在SERVICES.EXE进程, 则注入到EXPLORER.EXE中 6.SHQMANGR.DLL在远程进程中运行后 1> 注入DLL 将%tmp%\\SHQ.DLL注入到以下进程中, 盗取游戏帐号, 并通过提交表单的形式发送到病毒作者的网站 GAME.EXE gameclient.exe china_login.mpr cq.exe elementclient.exe Conquer.exe gc.exe metin2.bin HYO.exe 2> 通过读写进程的内存, 盗取游戏帐号 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。