详尽分析:偷取密码的"梦幻西游盗号者"_新闻资讯_中关村在线
“梦幻西游盗号者17408”(LineGames.17408)是一个盗号木马程序。该程序会盗取络游戏《梦幻西游》的账号信息,并下载其它病*至受害电脑上运行。
病*名称(中文):梦幻西游盗号者17408
威胁级别:★☆☆☆☆
病*类型:偷密码的木马
病*长度:7408
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病*行为:
这是一个盗号木马程序。该程序会盗取络游戏《梦幻西游》的账号信息,并下载其它病*至受害电脑上运行。
1.程序运行后,生成病*所需文件
%Temp%\D3D9_L%Temp%\D3D9_L%Temp%\E%system32%\D3D9_L%system32%\D3D9_L%system32%\E%system32%v
2.创建批处理程序,将自己的源文件删除,避免被用户发现。
3.在注册表中添加了注册项,设为自启动,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run DXDLG32 "e"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDWG32 "e"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDCG32 "e"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDOG32 "e"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDSG32 "e"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDMG32 "e"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDHG32 "e"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDQG32 "e"
4.将生成的LYL文件注入系统进程e中,并加载L和t,搜索梦幻西游的进程“E”。同时利用L文件来枚举窗口名,查找是否有名字为“梦幻西游”的游戏窗口。
一旦发现目标,病*就会通过内存读写的方式窃取玩家的账号信息,并将其发送到****、****等木马作者指定的多个远程服务器。
5.另外,该病*还会从远程服务器下载其他病*文件安装至本地计算机。
相关阅读:
·开发者工具及Windows 10 SDK开放下载
·11.24日佳软推荐:乱斗西游 组阵杀敌
·电脑管家10.3版发布 提升盗号木马查杀
·10.14日佳软推荐:腾讯新游 横扫西游
·7.16每日佳软推荐:腾讯新游欢乐西游
看完本文后的感受:文章感受排行
返回软件资讯首页
给力(0票)
动心(0票)
废话(0票)
专业(0票)
标题*(0票)
频道热词:微信手机QQ12306
视觉焦点
