病毒名称

威胁级别

病毒类型

病毒长度

影响系统

病毒行为

病毒名称

反杀软大话木马40960

威胁级别

病毒类型

偷密码的木马

病毒长度

40960

影响系统

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为

这是盗取《大话西游3》游戏帐号与密码等相关信息的木马。病毒通过监视用户鼠标动作的方法，窃取帐号信息并发送到木马传播者指定的接收地址。该病毒还会关闭杀软费尔、瑞星的进程。

1、病毒生成的文件:

"%SystemRoot\\system32\\dh3oor0.dll%"

"%SystemRoot\\explorer.exe%"

2、病毒添加的注册表项:

HKEY_CLASSES_ROOT\\CLSID\\{A120A1D0-4F9B-A183-CBCC-78B27E4C1B5C}

daDllModuleName = "%SystemRoot\\system32\\dh3oor0.dll%"

daExeModuleName = "病毒源文件路径"

daSobjEventName = "YUTDFGHKHCOOLDH3_0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{A120A1D0-4F9B-A183-CBCC-78B27E4C1B5C}

daDllModuleName = "%SystemRoot\\system32\\dh3oor0.dll%"

daExeModuleName = "病毒源文件路径"

daSobjEventName = "YUTDFGHKHCOOLDH3_0"

HKEY_CLASSES_ROOT\\CLSID\\{A120A1D0-CBCC-4F9B-A183-78B27E4C1B5C}\\InprocServer32

默认 = C:\\WINDOWS\\system32\\dh3oor0.dll

ThreadingModel = "Apartment"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks

{A120A1D0-CBCC-4F9B-A183-78B27E4C1B5C} = "hook dh33333"

3、发送的指定接收地址(以下仅供内部人员查看)

http://www.****8.org/oksend/

4、病毒运行之后会删除自身

5、dh3oor0.dll文件名的最后一个数字是以递增的方式取的,例如dh3oor0、dh3oor1....

6、关闭杀毒软件

FilMsg.exe

Twister.exe

RavMon.exe