•  
    • 当前位置: 金山病毒百科 >> 偷密码的木马 > Win32.Troj.Agent.co.16384 
    浏览次数:667人
    病毒名:Win32.Troj.Agent.co.16384
    编辑词条

    目 录

    简介
    行为分析
    病毒描述

    中文名: 最终幻想盗号者变种
    病毒类型: 偷密码的木马
    病毒长度: 16384
    本病毒所有命名:
    :
     

    影响系统:
    Win9x,WinMe,Linux

    简介:
    1. 拷贝自身到C:windowssystem32wzcsvbxm.dll。 2. 被病毒主体注册为共享服务启动。服务添加至Svchost.exe -k netsvcs共享服务组里,与Svnhost.exe

    行为分析:
    这个一个盗号木马程序的组成部分。它的目标是网络游戏《最终幻想》的帐号信息。它会注入到系统进程中运行,以便隐蔽自己。
    描述:
    1. 拷贝自身到C:windowssystem32wzcsvbxm.dll。



    2. 被病毒主体注册为共享服务启动。服务添加至Svchost.exe -k netsvcs共享服务组里,与Svnhost.exe

    进程一同启动,达到隐藏自身的目的。服务名称为wuauserv,服务描述为Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.



    3. 查找进程游戏《最终幻想》的进程pol.exe,找到后打开进程句柄,进行注入代码。



    4. 病毒被注入后会加载游戏模块polcore.dll,进行一些数据查找等工作,盗取游戏账号等信息。

    标签: 盗号木马 《最终幻想》 服务启动 wzcsvbxm.dll
    回复
    评论病毒
    请您登录后再发表评论 登录 | 注册