病毒名称

Trojan-PSW.Win32.OLGames.jlm

病毒症状

该病毒是一个使用VC++ 6.0编写的木马程序，采用Upack V0.37加壳以躲过特征码扫描，加壳后长度12,138字节，图标windows默认可执行文件图标，病毒扩展名为exe，传播途径主要为网页挂马，文件捆绑。

病毒分析

病毒运行后，在%systemroot%\\system32下生成IGB_DJOL_1023.exe病毒主体文件和IGB_DJOL_1023.dll文件。接着开启一个新的进程运行IGB_DJOL_1023.exe程序，并利用一个批处理将自身删除，以减少病毒被用户发现的概率。之后便修改注册表HKCR\\CLSID\\\\InProcServer32的(Default)的值为IGB_DJOL_1023.dll以及修改HKLM中下的explorer相关注册表，使得病毒能够在系统启动时注入explorer及其开启的各个进程中；

接着病毒将遍历系统正在运行的进程，如果找到WoW.exe、zeroonline.exe和gameclient.exe的进程，便将其结束。待用户重新进入游戏时便获取玩家的帐号和密码。成功之后将其加密以邮件的形式通过SMTP和网页收信空间发送给病毒传播者；

感染对象

Windows ME/Windows 2000/Windows XP/ Windows 2003

传播途径

网页挂马，文件捆绑

技术细节

病毒添加的注册表项：

项：HKCR\\CLSID\\\\InprocServer32

键值： (Default)

值：IGB_DJOL_1023.dll

项：HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks

键值：

值：IGB_DJOL_1023.dll

病毒所盗取的网络游戏：

魔兽世界

机战

浩方

刀剑OL

魔域

问道

奇迹世界

投名状