病毒名称(中文):热血江湖盗号者135168病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:135168影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个盗号木马，它会替换掉网络游戏《热血江湖》的启动文件，使用户通过病毒伪装的启动文件进入游戏，以盗取系统上的帐号信息，并发送给木马种植者。

病毒运行后释放以下病毒文件:

%systemdrive%\\RECYCLER\\rrr.exe

%systemdrive%\\RECYCLER\\yb_men.dll

病毒并无创建或修改任何注册表或服务启动项.

查找窗口名为"瑞星主动防御"的窗口,如无则运行 %systemdrive%\\RECYCLER\\rrr.exe.

遍历系统所有磁盘,查找 "yb_sync.dll"和"yb_mem.dll" 两个文件的所在路径.(热血江湖游戏文件)

把游戏目录下的程序 launcher.exe 重命名为 launchar.exe,并设置 launchar.exe 的文件属性为"系统"和"隐藏".

病毒文件 rrr.exe 复制至游戏目录下,重命名为 launcher.exe.

如中此病毒后,用户通过双击 launcher.exe 会先启动游戏程序(已被重命名的 launchar.exe),并调用病毒文件 %systemdrive%\\RECYCLER\\yb_men.dll.

病毒文件 %systemdrive%\\RECYCLER\\yb_men.dll 判断自身是否注入到以下进程:

Explorer.exe

Client.exe

如注入 Explorer.exe 进程则病毒文件 %systemdrive%\\RECYCLER\\yb_men.dll 安装全局钩子.

如注入 Client.exe 进程则查找窗口名为"YB_OnlineClient"的窗口,通过读取该游戏进程的内存方式盗取网络游戏《热血江湖》的帐号信息并发送至木马种植者指定的接收网址.