病毒名称(中文):网游盗号木马14452病毒别名:威胁级别:★★☆☆☆病毒类型:偷密码的木马病毒长度:15825影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个网游盗号木马。它运行后，会禁用Windows进行自动更新和使用防火墙，然后注入系统桌面进程Explorer.exe中，创建独立线程，在系统中搜索《诛仙》、《完美世界》、《武林外传》、《机战》、《热血传奇》等游戏的进程，注入其中盗取用户的帐号密码等信息。

1.复制文件：

%windir%\\Fonts\\swrcgac.exe

%windir%\\Fonts\\swrcgcs.dll

%windir%\\Fonts\\swrcgzc.dll

%windir%\\Fonts\\wirebfw.fon

其中%windir%\\Fonts\\swrcgcs.dll、%windir%\\Fonts\\wirebfw.fon为配置文件

2.添加到到注册表：

添加以下注册表项，添加到ShellExecuteHooks启动项，并且禁用Windows自动更新和防火墙：

[HKEY_CLASSES_ROOT\\CLSID\\{878A7521-FA87-34AB-34C2-4893F3AD34C8}]

指向"C:\\WINDOWS\\Fonts\\swrcgzc.dll"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]

{878A7521-FA87-34AB-34C2-4893F3AD34C8} "swrcgzc.dll"

这样添加到ShellExecuteHooks；

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU]

NoAutoUpdate dword:00000001

AUOptions dword:00000001

以上键值禁用了Windows自动更新；

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile]

EnableFirewall dword:00000000

该键值禁用了Windows XP SP2的防火墙。

3.破坏方式

该木马运行后，复制多个文件到系统的字体目录（%windir%\\Fonts\\），并删除自身，添加到ShellExecuteHooks项，随

Explorer.exe启动，禁用Windows自动更新Windows XP SP2的防火墙，启动后注入Explorer.exe中，创建独立线程，在

系统中搜索ElementClient.exe、TQAT.exe、mir1.dat等游戏进程相关文件，注入其中，盗取用户帐号密码等信息。