Win32.Troj.PSWXiyou.ja是一個針對“夢幻西遊”的木馬病毒,病毒體運行後會釋放xydll.dll檔案到系統目錄下,然後調用其中的函式,利用鍵盤和滑鼠鉤子獲取遊戲密碼及其它相關信息,同時病毒體還利用自帶的smtp引擎將這些信息傳送給木馬種植者。
基本介紹
- 中文名:Win32.Troj.PSWXiyou.ja
- 病毒類型:木馬
- 影響系統:Win9x / WinNT
- 針對遊戲:夢幻西遊
基本信息,病毒行為,
基本信息
威脅級別:★★
中文名稱:
病毒行為
1. 釋放一個大小為37376的動態連結檔案xydll.dll到%system%目錄下,然後將自身複製到
%Windir%\inf目錄下,命名為rundll32.exe,同時修改註冊表,添加啟動項,達到開機自
啟的目的:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"loadMexy" = "%WinDir%\inf\rundll32.exe"
RavMon.exe
天網防火牆個人版
天網防火牆企業版
噬菌體
ZoneAlarm
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
3. 為了盜取密碼,病毒在註冊表中尋找"密碼防盜專家"的鍵值,並嘗試關閉已經運行的"密碼
防盜專家"。
4. 接著調用xydll.dll中的函式設定鍵盤與滑鼠鉤子,監控系統,尋找"夢幻西遊"遊戲視窗,隨時
準備盜取遊戲密碼及其它相關信息,並將這些信息保存在c:\gamexy.txt檔案中。盜取信息包括:
伺服器
戶名
密碼
物平密碼
機器名
5. 利用自帶的smtp引擎將這些信息通過E-Mail傳送給木馬種植者。
