病毒别名： 处理时间：2006-09-06 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒为windows平台下专门针对天堂网络游戏的特洛伊木马，病毒运行后将自身伪装成系统正常程序，利用注入技术监视天堂网络游戏，并记录游戏的帐号、密码、角色装备等信息，同时病毒运行中会终止常见的反病毒软件。

病毒主要通过网络欺骗、软件捆绑，其它病毒携带等方式进行传播。

1、病毒运行后将自身复制为伪系统正常文件:

%Windir%\\system32\\explorer.exe

%Windir%\\rundll32.exe

%Windir%\\Internat.exe

2、释放出以下主盗号程序:

%Windir%\\system32\\dab1.dll

%Windir%\\system\\micro.dll

3、病毒运行过程中生成以下临时文件:

c:\\gameab1.txt

4、病毒修改以下注册表项使病毒开机后自动运行:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]

"Userinit" = "%Windir%\\system32\\userinit.exe,%Windir%\\System32\\explorer.exe"

如果是Win9x则病毒通过修改Win.ini文件使病毒开机后自动运行

5、病毒运行过程中会实时监视并终止以下相关反病毒软件进程:

RavMon.exe

EGhost.exe

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

6、病毒会关闭窗体类名为"RavMonClass"的程序。

7、病毒利用注入技术将病毒代码注入每个进程中，然后通过判断主程序名为"Lineage.exe"

的方法定位天堂游戏，病毒还会通过查找窗体名为"Lineage Windows Client"的方式定位天堂游戏。

8、用户开启天堂游戏后，病毒在后台记录用户的游戏帐号、密码、角色装备、装备密码等信息，成功

获取用户游戏帐号密码信息后发送至以下地址:

http://www.cm***.net/use/mail.asp?tomail=wdo@www***.com&mailbody=