本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
病毒运行后释放以下病毒文件: %systemroot%system32ztinetzt.exe %systemroot%system32ztinetzt.dll 病毒枚举系统上的进程,查找以下进程的 PID: avp.exe

行为分析：
这是一个针对网络游戏《征途》的盗号木马程序。病毒首先会查找杀毒软件瑞星和卡巴斯基弹出的警告窗口，模拟用户鼠标点击允许操作。然后枚举系统上的江民、瑞星、卡巴斯基进程，把它们的进程结束。最后注入游戏进程，盗取游戏账号和密码。

描述：
病毒运行后释放以下病毒文件:

%systemroot%system32ztinetzt.exe

%systemroot%system32ztinetzt.dll



病毒枚举系统上的进程,查找以下进程的 PID:

avp.exe

RUNIEP.EXE

KRegEx.exe

KVXP.kxp



如查找到 avp.exe 则通过修改系统时间,使其失效.如查找到另外三个进程,则通过 ntsd -c q -p 命令结束进程.



创建线钱查找窗口标题为"瑞星注册表监控提示"、"IE 执行保护"、"IE执行保护"、"瑞星卡卡上网安全助手 - IE防漏墙"的窗口,模拟鼠标操作点击以上窗口的"同意修改"、"确定"、"允许执行"、"允许"的按钮.查找窗口类为"AVP.AlertDialog"、"AVP.Product_Notification"、"AVP.TrafficeMonConnectionTerm"的窗口,并模拟鼠标点击以上窗口的"创建规则"、"允许"、"跳过"、"否"的按钮.



释放完病毒文件后通过执行 cmd.exe /c del "病毒源文件" 删除病毒自身(释放源).



病毒进程提权,获取 explorer.exe 进程的 pid 后,创建远程线程注入 explorer.exe. 病毒文件 %systemroot%system32ztinetzt.dll 注入 explorer.exe 进程.



盗取系统上的网络游戏《征途》的帐号信息并把盗取的信息发送至木马种植者指定的接收网址.



病毒创建注册表启动项:

Key: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Vluae: "Microsoft Autorun14"

Data: "%systemroot%system32ztinetzt.exe"



接收网址如下:

http:/ /www.m**8.cc/hyyzt/lin.asp?srv=##&id=##&p=##&s=##&ss=##&js=##&gj=##&dj=##&yz=##&mb=##&hsn=##

http:/ /www.h****ang.cc/zt/liu1/lin.asp?srv=##&id=##&p=##&s=##&ss=##&js=##&gj=##&dj=##&yz=##&mb=##&hsn=##