病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
135680
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個盜取魔獸世界帳號的木馬。病毒會添加系統服務隨系統啓動自動運行,並監視系統中的遊戲進程,盜取帳號信息並提交到指定的網址。
1、病毒運行後釋放如下病毒文件:
C:\nxldr.dat
C:\WINDOWS\system32\KB8964225.log
C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp
2、修改注冊表,創建如下服務,以便隨系統自動啓動:
HKLM\System\CurrentControlSet\Services\NetWorkLogon
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Type"=0x110
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Start"=0x2
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ErrorControl"=0x0
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ImagePath"="rundll32.exeKB8964225.log,start"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"DisplayName"="NetworkLogon"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Security"=0x2001F
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ObjectName"="LocalSystem"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Description"="支持網絡上計算機遠程登陸事件。假如此服務被停用,網絡登陸將不可用。假如此服務被禁用,任何依靠它的服務將無法啓動。"
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"Type"=0x1
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"ErrorControl"=0x0
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"Start"=0x4
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"ImagePath"="\??\C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp"
3、插入conime.exe和ctfmon.exe進程,反複添加病毒服務。
4、監視系統中的遊戲進程,若發現則讀取帳號密碼等相關信息並提交到指定的網址。