這是一個網遊盜號木馬,該木馬通過模擬滑鼠點擊的方式關閉部分安全軟體的通知和報警視窗。通過讀取遊戲的記憶體空間來盜取天龍八部、驚天動地、浩方等遊戲的帳號。
基本介紹
- 外文名:Win32.PSWTroj.OnLineGames.
- 暱稱:偷密碼的木馬
- 性質:網遊盜號木馬
- 屬性:計算機病毒
- 傳播途徑:網路
- 搜尋視窗:TianLongBaBuWndClass
1.木馬釋放如下檔案:
%systemboot%\system32\AVPSrv.dll
%systemboot%\AVPSvr.exe
2.病毒會添加病毒啟動項,隨著系統的啟動觸發病毒且運行.
啟動項名:AVPSvr.exe 對應路徑:%systemboot%\AVPSvr.exe
3.病毒會監控部分殺軟的警告視窗,當病毒進程AVPSvr.dll監測到都警告視窗,則會自動關閉該警告視窗(如:卡巴斯基,瑞星等)
4.通過讀取記憶體的方式盜取用戶打開的網遊.
5.盜取到的信息會傳送到指定的路徑:http://fy1.s*****j。com/jjfy/lin.asp
信息上傳網址:http://fy1.soujjjj。com/jjfy/lin.asp
所關閉的殺軟視窗:
卡巴斯基的通知視窗和警告視窗
在進程快照中搜尋RavMon.exe
搜尋的遊戲:
檢查是否注入下列進程
LaTaleCliet.exe
gameclient.exe 浩方
cabalmain.exe 驚天動地
