Win32.Troj.MBER.a.15360

病毒名称(中文):

梦幻之盗15360病毒别名:

威胁级别:

病毒类型:

偷密码的木马病毒长度:

15360影响系统:

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个木马程序。该病毒运行后，会从自身释放出病毒文件，并注入到services.exe或explorer.exe系统进程，以此来隐蔽自身，并从网络上下载盗号程序，来协助完成梦幻西游ONLINE的盗号工作。

1.病毒运行后，产生以下病毒文件

%windows%\\system32\\LYLOADER.EXE

%windows%\\system32\\MSDEG32.DLL

%windows%\\system32\\LYMANGR.DLL

%windows%\\system32\\Verify.exe

2.该病毒运行成功后，会自删除病毒源文件。

3.当病毒监测到有services.exe或explorer.exe进程时，便会创建远程线程(加载LYMANGR.DLL和MSDEG32.DLL)。

4.病毒添加了启动项(启动项是指随着系统启动而运行的程序)

启动项名:LYLoader.exe 对应路径:%windows%\\system32\\LYLOADER.EXE

5.病毒还会根据IP从网络上下载病毒。

6.MSDEG32.DLL文件被注入到explorer.exe或services.exe进程后会搜索进程，查找是否有“梦幻西游”的进程，有则

通过Verify.exe病毒文件进行盗取操作。

7.具体发送的的帐号信息包含如下：

帐号，密码，区名，现金数，存银

8.所得到的梦幻西游帐号信息会被发送到以下网址

http://5****a.com/mh2007/post2007kj.asp

http://www.r****wd.com/cs03/post.asp

其指定的下载IP地址为：222.169.224.183

所得到的梦幻西游帐号信息会被发送到以下网址

http://5151la.com/mh2007/post2007kj.asp

http://www.raceswd.com/cs03/post.asp