Trojan.PSW.Whboy.2005.g

2008-02-23 08:36:41来源：互联网阅读 ()

病毒名称: Trojan.PSW.Whboy.2005.g 类别：木马病毒病毒资料：破坏方法：

窃取游戏信息的木马病毒

病毒采用Delphi编写，UPX压缩。

病毒运行后有以下行为：

一、将自己复制为以下几个文件：

1.％SYSDIR％\msapi.exe
2.％SYSDIR％\snet.exe
并释放文件名为"msapi.dll"的动态库到％SYSDIR％目录下。

二、搜索"EXPlorer.exe"进程，通过修改"Explorer.exe"进程地址空间创建远程线程的方式，在"Explorer.exe"进程中创建一个用于装载"msapi.dll"动态库的线程。

三、修改系统文件"SYSTEM.INI"的以下数据以达到自启动的目的：

1.[BOOT]
增加数据项："SHELL"
增加数据："％SYSDIR％\msapi.exe"

四、查找并结束以下反病毒软件、防火墙软件的进程：

1.Symantec AntiVirus 企业版
2.江民杀毒软件 KV2004：实时监视
3.RavMon.exe
4.ZoneAlarm
5.天网防火墙个人版
6.天网防火墙企业版
7.密码防盗
8.绿鹰PC
9.QQ病毒专杀工具
10.噬菌体
11.木马克星
11.Iparmor.exe
12.MAILMON.EXE
13.KAVPFW.EXE
并卸载"密码防盗专家综合版"。

五、查看当前窗口中是否包含有"发送(&S)"按钮（即：OICQ发送消息的窗口），如果有病毒将向该窗口的编辑框中填写垃圾信息。

六、搜索"传奇客户端"窗体，并试图从中获取用户游戏登录"传奇"时所填写的帐号及密码。窃取"传奇客户端"所在社区等信息，与帐号及密码一起发送到指定的邮箱内。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-12-21

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有