病毒名称(中文):问道窃贼73728病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:23236影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是针对网络游戏《问道》的盗号木马程序。它通过特征码和窗口定位游戏，盗取帐号密码后发送到病毒作者指定的地址。

该病毒是盗取问道的木马，会将玩家的账号密码人物名称等级等数据发送给收信地址。

1.通过特征码和窗口定位游戏。

2.释放14F7F80A.dll、14F7F80A.cfg文件到%sys32dir%目录下。

3.通过HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks\\{14F7F80A-0FE7-4A24-83CC-639D42BE410C}来启动。

创建HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\d7ba6e来启动服务

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{14F7F80A-0FE7-4A24-83CC-639D42BE410C}\\InprocServer32\\

4.查找%System32%目录下的VErCLSiD.exe文件，如找到则将其删除，将自身DLL注入到进程中去。

5.获取游戏账号信息，往收信地址发信。