金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.Troj.EncodeIe.ao.159744
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1. 当加载本DLL时加载msvcrt.dll以及自身 2. 检查是否由explorer.exe加载,若不是则找到顶部窗口的句柄,然后将自身注入进去,创建线程执行;
行为分析:
此病毒是一个网游盗号木马。它会盗窃《传奇》的帐号密码,同时还会下载其它木马到用户电脑中运行。
:
影响系统:
Win9x,WinMe,Linux
简介:
1. 当加载本DLL时加载msvcrt.dll以及自身 2. 检查是否由explorer.exe加载,若不是则找到顶部窗口的句柄,然后将自身注入进去,创建线程执行;
行为分析:
此病毒是一个网游盗号木马。它会盗窃《传奇》的帐号密码,同时还会下载其它木马到用户电脑中运行。
描述:
1. 当加载本DLL时加载msvcrt.dll以及自身
2. 检查是否由explorer.exe加载,若不是则找到顶部窗口的句柄,然后将自身注入进去,创建线程执行;
3. 检查是否被360safe.exe或者KWatch.exe加载,若是则将360和金山监控关闭
4. 在以下注册表中添加一个字符串项,名称为AppInit_Dlls,值为当前的dll名,一般为SDDynDll.dll、SDDynDl1.dll、SDDynDl2.dll、SDDynDl3.dll
HKEY_LOCAL_MACHINEsoftwareMicrosoftWindows NTCurrentVersionWindows
5. 检查是否注入到mir1.dat进程,即是传奇的进程,得到用户信息,将其保存到c:cqit_log.txt,从%system%msoscqit.dat读取网址下载到内存运行
1. 当加载本DLL时加载msvcrt.dll以及自身
2. 检查是否由explorer.exe加载,若不是则找到顶部窗口的句柄,然后将自身注入进去,创建线程执行;
3. 检查是否被360safe.exe或者KWatch.exe加载,若是则将360和金山监控关闭
4. 在以下注册表中添加一个字符串项,名称为AppInit_Dlls,值为当前的dll名,一般为SDDynDll.dll、SDDynDl1.dll、SDDynDl2.dll、SDDynDl3.dll
HKEY_LOCAL_MACHINEsoftwareMicrosoftWindows NTCurrentVersionWindows
5. 检查是否注入到mir1.dat进程,即是传奇的进程,得到用户信息,将其保存到c:cqit_log.txt,从%system%msoscqit.dat读取网址下载到内存运行
回复
评论病毒
