这是一个可以感染硬盘上可执行文件的木马,并且偷取传奇游戏帐号密码。
病毒运行后释放一个Virdll.dll到当前目录。里面含有获得传奇游戏密码的有害代码。
病毒注册一个“AG_TESTWINDOW”类型的窗体。然后创建一个这种类型的窗体实例,窗体名为"test"
能够结束以下一些进程:
RavMon.exe,
天网防火墙个人版,
天网防火墙企业版,
噬菌体,
ZoneAlarm,
EGhost.EXE,
MAILMON.EXE,
KAVPFW.EXE,
IPARMOR.EXE
.....
病毒有以下几个主线程:
线程一:枚举局域网上其它机器,尝试以用户名guest,administrator加空密码进行IPC连接。如果成功连接则将病毒复制过去。
线程二:在硬盘上查找并感染exe可执行文件。为了不引起用户怀疑,文件路径包含以下字符串的不进行感染:
system,system32,windows,Documents and Settings,System Volume Information,Recycled,winnt,\Program Files\,Windows NT,WindowsUpdate,Windows Media Player,Outlook EXPress,Internet Explorer,Common Files,ComPlus Applications,Messenger,Microsoft Office..
遍历文件时如果发现是PassWordGuard.exe(密码防盗专家),则删除。
病毒调用动态库中的代码获得传奇窗口,然后获得相关的帐号和密码信息,通过邮件发送出去,造成用户损失。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2005-1-4
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
