网游盗号木马Win32.Troj.OnLineGames.ft.57344

taong

病毒名称(中文):网游盗号木马57344
病毒别名:
威胁级别:★☆☆☆☆
病毒类型:偷密码的木马
病毒长度:57344
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个盗号木马，它能够盗取多个网络游戏的帐号信息，停止系统上某些指定的安全服务。此外，病毒还可通过查找窗口的方式关闭卡巴斯基的警告窗口。

运行后释放以下病毒文件:
%systemroot%\MsIMMs32.exe
%systemroot%\system32\MsIMMs32.dll

创建注册表启动项:
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Value: "MsIMMs32"
Data: "%systemroot%\MsIMMs32.exe"

运行后,病毒文件 MsIMMs32.dll 注入系统的 explorer.exe 进程.

停止系统上的以下服务:
KWatchSvc
KPfwSvc
McShield
DefWatch
kvsrvxp
McAfeeFramework
McTaskManager
Norton AntiVirus Server

查找"AVP.AlertDialog"窗口,如发现则发送关闭消息关闭此窗口.

病毒文件 MsIMMs32.dll 安装全局钩子,挂钩类型为:WH_GETMESSAGE

判断 MsIMMs32.dll 是否注入到以下进程:
gameclient.exe
LaTaleClient.exe
asktao.mod
cabalmain.exe

盗取系统上的《浩方对战平台》、网络游戏《彩虹岛》、《问道》、《惊天动地》的帐号信息并发送至木马种植者指定的接收网址.

盗取所得的信息按以下格式发送至木马种植者指定的网址:
http:/ /www.3**678.cn/xxqq/wd/lin.asp?lk=##&a=##&s=##&u=##&p=##&sp=##&r=##&l=##&m=##&gc=##&sc=##

http:/ /j*1.so****j.com/cchh/lin.asp?ks=sba5&a=##&s=##&u=##&p=##&sp=##&r=##