Trojan.PSW.SuperWay.d
2008-02-23 08:47:28来源:互联网 阅读 ()
病毒名称:
Trojan.PSW.SuperWay.d
类别: 木马病毒
病毒资料:
破坏方法:
盗游戏密码以及其它信息的病毒,可以盗取的游戏有:
传奇II
光通传奇III
天堂
奇迹
病毒采用MS Visual C 6.0编写,upx压缩,是一个偷游戏信息的木马。
病毒一旦执行,将复制自己到windows目录,注册为服务进程,并启动三个主要线程分别用来卸载钩子、复制自身和写注册表以使自己自启动、自动升级;
病毒的自启动方式为注册表自启动和在D:\盘和E:\根目录下建立一个autorun.inf文件,在这个文件中病毒建立一项[autorun]:open=d:\EXPlorer.exe
或
open=e:\Explorer.exe,这样当用户打开相应的驱动器时就会运行复制在此的病毒。
同时病毒释放一个动态链结库文件并加载之。加载后病毒将终止一些反病毒软件的执行;
该动态链结库文件即病毒的主要功能模块:
有两个导出函数,两个函数都是用来偷用户信息<密码>:
一个是设置钩子来盗“传奇II”的密码;
一个是病毒的主要功能实现函数,它创建六个线程:
线程1用来:获取传奇II的密码、用户信息;
线程2用来:取得游戏“传奇”的内部信息;
线程3用来:获取游戏“光通传奇III”的密码信息;
线程4用来:发送密码邮件到指定邮箱;
发送的邮箱是可配置的经过加密处理,此病毒中的邮箱解密后为:ttee7u7@163.net,病毒发送邮件的机理是模拟用户发送邮件的操作,使用POST、GET命令来完成,它首先连接一个设置好的网站<在此病毒中为:likun.w19.1358.net>的一个网页通过填写这个sendmail.ASP中的各项,比如:邮箱要发送地址、要发送的信息等来发送邮件。
与以前版本的病毒一样,除发送到此病毒的用户配置的邮箱外,病毒也将发送此邮件到病毒作者的邮箱。
线程5用来:获取游戏“天堂”密码信息;
线程6用来:自动从网站:up.superway.net升级,更新日期为:每月的1、5、10、15、20、25、30日
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-9-24
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
