词条 | Win32.Troj.MirSock.b |
释义 | 病毒别名:TrojanDownloader.Win32.Small.hf[AVP] 处理时间: 威胁级别:★★ 中文名称: 病毒类型:木马 影响系统:Win98/WinNT 病毒行为: 该病毒伪装成一个rar压缩包,一旦运行之后将释放一个DLL文件,然后修改注册表替换掉系统通信的DLL文件,截获并分析用户的传奇数据包,从而窃取用户的传奇帐号和密码。 1.释放文件:%system%\\ws2_64.dll(Win32.Troj.Pasorot.k)。 2.修改注册表。 修改键值: HKLM\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\WinSock\\ "1001"="%SystemRoot%\\system32\\msafd.dll" "1002"="%SystemRoot%\\system32\\msafd.dll" "1003"="%SystemRoot%\\system32\\msafd.dll" "1004"="%SystemRoot%\\system32\\rsvpsp.dll" "1005"="%SystemRoot%\\system32\\rsvpsp.dll" "PathName"="C:\\WINNT\\System32\\ws2_64.dll" HKLM\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000001\\ "PackedCatalogItem"="<%system%\\ws2_64.dll...>" HKLM\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000002\\ "PackedCatalogItem"="<%system%\\ws2_64.dll...>" HKLM\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000003\\ "PackedCatalogItem"="<%system%\\ws2_64.dll...>" HKLM\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000004\\ "PackedCatalogItem"="<%system%\\ws2_64.dll...>" HKLM\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000005\\ "PackedCatalogItem"="<%system%\\ws2_64.dll...>" 3.通过将Sock函数对应的DLL替换成ws2_64.dll,截取数据包。然后分析数据包中的传奇密码数据修改用户传奇密码。 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。