窃取游戏"传奇"信息的木马病毒
病毒运行后将自己复制到%SYSDIR%目录下,文件名为"eXPlore.exe",并在同一目录下释放病毒所使用的动态库"explore.dll"。
修改注册表:
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项:"Expatch" 数据值为:%SYSDIR%\EXPLORE.EXE
以达到其自启动的目的。
查杀以下杀毒软件和监控软件的进程:
ravmon
passWordguard
EGhost
mailmon
kavsvcui
vptray
隐藏在后台运行,查找"传奇客户端"窗体并枚举其子窗体试图窃取游戏"传奇"的信息。如果窃取信息成功病毒将会把窃取到的信息发送到指定的邮箱。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-5-10
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
