词条 | Win32.Troj.AgentT.fm.14452 |
释义 | 病毒名称(中文):网游盗号木马14452病毒别名:威胁级别:★★☆☆☆病毒类型:偷密码的木马病毒长度:15825影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为: 这是一个网游盗号木马。它运行后,会禁用Windows进行自动更新和使用防火墙,然后注入系统桌面进程Explorer.exe中,创建独立线程,在系统中搜索《诛仙》、《完美世界》、《武林外传》、《机战》、《热血传奇》等游戏的进程,注入其中盗取用户的帐号密码等信息。 1.复制文件: %windir%\\Fonts\\swrcgac.exe %windir%\\Fonts\\swrcgcs.dll %windir%\\Fonts\\swrcgzc.dll %windir%\\Fonts\\wirebfw.fon 其中%windir%\\Fonts\\swrcgcs.dll、%windir%\\Fonts\\wirebfw.fon为配置文件 2.添加到到注册表: 添加以下注册表项,添加到ShellExecuteHooks启动项,并且禁用Windows自动更新和防火墙: [HKEY_CLASSES_ROOT\\CLSID\\{878A7521-FA87-34AB-34C2-4893F3AD34C8}] 指向"C:\\WINDOWS\\Fonts\\swrcgzc.dll" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks] {878A7521-FA87-34AB-34C2-4893F3AD34C8} "swrcgzc.dll" 这样添加到ShellExecuteHooks; [HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU] NoAutoUpdate dword:00000001 AUOptions dword:00000001 以上键值禁用了Windows自动更新; [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile] EnableFirewall dword:00000000 该键值禁用了Windows XP SP2的防火墙。 3.破坏方式 该木马运行后,复制多个文件到系统的字体目录(%windir%\\Fonts\\),并删除自身,添加到ShellExecuteHooks项,随 Explorer.exe启动,禁用Windows自动更新Windows XP SP2的防火墙,启动后注入Explorer.exe中,创建独立线程,在 系统中搜索ElementClient.exe、TQAT.exe、mir1.dat等游戏进程相关文件,注入其中,盗取用户帐号密码等信息。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。