金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1. 通过注册表HKEY_LOCAL_MACHINESOFTWAREBlizzard EntertainmentWorld of Warcraft找到WOW的安装路径,找到wow.exe文件
行为分析:
这是一个针对网络游戏《魔兽世界》的盗号木马。它利用键盘记录的方式偷盗玩家的游戏帐号和密码,并发送到病毒作者指定的远程地址。该毒在运行前会检查系统中是否有安全软件,如有则停止运行。
:
影响系统:
Win9x,WinMe,Linux
简介:
1. 通过注册表HKEY_LOCAL_MACHINESOFTWAREBlizzard EntertainmentWorld of Warcraft找到WOW的安装路径,找到wow.exe文件
行为分析:
这是一个针对网络游戏《魔兽世界》的盗号木马。它利用键盘记录的方式偷盗玩家的游戏帐号和密码,并发送到病毒作者指定的远程地址。该毒在运行前会检查系统中是否有安全软件,如有则停止运行。
描述:
1. 通过注册表HKEY_LOCAL_MACHINESOFTWAREBlizzard EntertainmentWorld of Warcraft找到WOW的安装路径,找到wow.exe文件
2. 检测是否存在avp.exe、KVMonXP.kxp,即卡巴和江民,若存在则退出程序
3. 释放资源中的WOWDLL资源到TEMP目录下WowInitcode.dat,并将其加载上来,对自身调用该dll的hook函数,即设置一个键盘hook
4. 修改wow.exe文件,将WowInitcode.dat写入到文件中,得到用户信息后将其发送到以下地址:http://***.q***isi.cn/w1
http://***.q***isi.cn/p
1. 通过注册表HKEY_LOCAL_MACHINESOFTWAREBlizzard EntertainmentWorld of Warcraft找到WOW的安装路径,找到wow.exe文件
2. 检测是否存在avp.exe、KVMonXP.kxp,即卡巴和江民,若存在则退出程序
3. 释放资源中的WOWDLL资源到TEMP目录下WowInitcode.dat,并将其加载上来,对自身调用该dll的hook函数,即设置一个键盘hook
4. 修改wow.exe文件,将WowInitcode.dat写入到文件中,得到用户信息后将其发送到以下地址:http://***.q***isi.cn/w1
http://***.q***isi.cn/p
回复
评论病毒
