病毒别名： 处理时间：2006-08-21 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒为Windows平台下专门针对传奇网络游戏的盗号型木马,病毒运行后将自身复制至系统目录下，并加入注册表自启动项，然后在后门监视用户游戏帐号、密码等信息，并将信息保存为系统目录下的特定文件，网络可用时病毒将相关信息发送给病毒作者，导致用户帐号密码丢失。

病毒主要通过网络欺骗方式进行传播。

1、病毒运行过程中判断自身是否为系统目录下的".exe"文件，不是则复制自身为以下文件:

%Windir%\\system32\\.exe

然后生成"deleteme.bat"文件,并删除以下注册表项，使其"deleteme.bat"可以正常运行:

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp]

NoRealMode = value

2、病毒运行过程中生成以下盗号主程序，并且将该程序注入进程中:

%windir%\\system32\\MSDBRPTR32.dll

3、生成"%windir%\\system32\\Getspytype32_.ocx"文件，内容如下:

[MyIniStr]

strAspUrl=

strMailAddress=

strFmail=

strSmtp=

strMname=

strMpass=

strStname=

strQQmsg=

strMSmsg=

strStartBz=

strMailSize=

PassStrs=

strMmbwl2004=

4、添加如下相关注册表项:

[HKEY_CURRENT_USER\\SoftWare\\Microsoft\\Windows\\CurrentVersion]

"bwlpathb" = value

5、病毒运行过程中对应于不同的平台添加以下相关的注册表自启动项:

HKEY_CURRENT_USER\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\shell

HKEY_CLASSES_ROOT\\exefile\\\\shell\\\\open\\\\command

6、病毒运行后在后台监视记录用户传奇游戏帐号密码信息，获取后将相关信息发送至病毒作者指定的网站或信箱。