快好知 kuaihz订阅看过栏目

 

Win32.Troj.OnlineGames.dz.77824

  病毒名称(中文):刀剑盗号者77824

  病毒别名:

  威胁级别:

  ★☆☆☆☆病毒类型:

  偷密码的木马病毒长度:

  77824影响系统:

  WinNT Win2000 WinXP

  病毒行为:

  盗号木马,病毒在 system32 目录下释放病毒文件,并创建注册表启动项,以达到病毒开机自启动。病毒通过创建线程不断修改注册表,禁用系统自动更新和系统防火墙两个功能,会通过内存读写的方式盗取客户计算机上网络游戏《刀剑》的帐号信息。

  病毒运行后把自身拷贝至:

  %windir%\system32\sidjaaz.exe

  并释放病毒文件:

  %windir%\system32\sidjacs.dll

  %windir%\system32\sidjazy.dll

  %windir%\Fonts\cadaafx.fon

  病毒添加注册表启动项:

  Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

  Value:{18847374-8323-FADC-B443-4732ABCD3781}

  Data:sidjazy.dll

  病毒添加注册表:

  Key:HKEY_CLASSES_ROOT\CLSID\{18847374-8323-FADC-B443-4732ABCD3781}\InprocServer32

  Value:@

  Data:%windir%\system32\sidjazy.dll

  Key:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18847374-8323-FADC-B443-4732ABCD3781}\InprocServer32

  Value:@

  Data:%windir%\system32\sidjazy.dll

  病毒修改注册表:

  Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

  Value:AppInit_DLLs

  Before Data:

  After Data:sidjazy.dll

  查找计算机上的 system32 目录下是否存在 verclsid.exe 文件,有则创建批处理文件删除。

  创建批处理文件删除以下目录下的所有 cfg 后缀名的文件:

  C:\Program Files\NetMeeting\

  D:\Program Files\NetMeeting\

  %windir%\system32\

  创建线程不断修改注册表,禁用系统自动更新和系统防火墙两个功能。

  通过读写内存的方式盗取客户计算机上的网络游戏《刀剑》的帐号信息。

投稿
非常不爽,删了吧! 相关词条:其他