请输入您要查询的百科知识:

 

词条 Win32.Troj.AgentT.fm.14452
释义

病毒名称(中文):网游盗号木马14452病毒别名:威胁级别:★★☆☆☆病毒类型:偷密码的木马病毒长度:15825影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个网游盗号木马。它运行后,会禁用Windows进行自动更新和使用防火墙,然后注入系统桌面进程Explorer.exe中,创建独立线程,在系统中搜索《诛仙》、《完美世界》、《武林外传》、《机战》、《热血传奇》等游戏的进程,注入其中盗取用户的帐号密码等信息。

1.复制文件:

%windir%\\Fonts\\swrcgac.exe

%windir%\\Fonts\\swrcgcs.dll

%windir%\\Fonts\\swrcgzc.dll

%windir%\\Fonts\\wirebfw.fon

其中%windir%\\Fonts\\swrcgcs.dll、%windir%\\Fonts\\wirebfw.fon为配置文件

2.添加到到注册表:

添加以下注册表项,添加到ShellExecuteHooks启动项,并且禁用Windows自动更新和防火墙:

[HKEY_CLASSES_ROOT\\CLSID\\{878A7521-FA87-34AB-34C2-4893F3AD34C8}]

指向"C:\\WINDOWS\\Fonts\\swrcgzc.dll"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]

{878A7521-FA87-34AB-34C2-4893F3AD34C8} "swrcgzc.dll"

这样添加到ShellExecuteHooks;

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU]

NoAutoUpdate dword:00000001

AUOptions dword:00000001

以上键值禁用了Windows自动更新;

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile]

EnableFirewall dword:00000000

该键值禁用了Windows XP SP2的防火墙。

3.破坏方式

该木马运行后,复制多个文件到系统的字体目录(%windir%\\Fonts\\),并删除自身,添加到ShellExecuteHooks项,随

Explorer.exe启动,禁用Windows自动更新Windows XP SP2的防火墙,启动后注入Explorer.exe中,创建独立线程,在

系统中搜索ElementClient.exe、TQAT.exe、mir1.dat等游戏进程相关文件,注入其中,盗取用户帐号密码等信息。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/11 2:35:19