病毒行为:

这是一个盗号木马,病毒运行成功后,会自删除病毒源文件,并且会注入进程,然后监控指定的网游进程,当监测到指定的进程打开时,进行盗取操作.

1、病毒生成的文件:

%SystemRoot%\\msccrt.exe

%SystemRoot%\\system32\\msccrt.dll

2、病毒添加的注册表项:

Key:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

Value:"msccrt"

Data:"%SystemRoot%\\msccrt.exe"

3、盗取如下网游

Elementclient.exe (完美世界)

Gameclient.exe(浩方对战平台)

cabalmain.exe (惊天动地)

LaTaleClient.exe (彩虹岛)

qq.exe

qqGame.exe

4、发送的指定接收地址(仅供内部查看)

"http://121.**.***.215/wl/cin.asp?a=&s=&u=&c=0"

5、病毒运行之后会删除自身

4、发送的指定接收地址(仅供内部查看)

"http://121.15.245.215/wl/cin.asp?a=&s=&u=&c=0"