Win32.PSWTroj.OnlineGames.rx.135168
Win32.PSWTroj.OnlineGames.rx.135168
病毒名称(中文):热血江湖盗号者135168病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:135168影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个盗号木马,它会替换掉网络游戏《热血江湖》的启动文件,使用户通过病毒伪装的启动文件进入游戏,以盗取系统上的帐号信息,并发送给木马种植者。
病毒运行后释放以下病毒文件:
%systemdrive%\\RECYCLER\\rrr.exe
%systemdrive%\\RECYCLER\\yb_men.dll
病毒并无创建或修改任何注册表或服务启动项.
查找窗口名为"瑞星主动防御"的窗口,如无则运行 %systemdrive%\\RECYCLER\\rrr.exe.
遍历系统所有磁盘,查找 "yb_sync.dll"和"yb_mem.dll" 两个文件的所在路径.(热血江湖游戏文件)
把游戏目录下的程序 launcher.exe 重命名为 launchar.exe,并设置 launchar.exe 的文件属性为"系统"和"隐藏".
病毒文件 rrr.exe 复制至游戏目录下,重命名为 launcher.exe.
如中此病毒后,用户通过双击 launcher.exe 会先启动游戏程序(已被重命名的 launchar.exe),并调用病毒文件 %systemdrive%\\RECYCLER\\yb_men.dll.
病毒文件 %systemdrive%\\RECYCLER\\yb_men.dll 判断自身是否注入到以下进程:
Explorer.exe
Client.exe
如注入 Explorer.exe 进程则病毒文件 %systemdrive%\\RECYCLER\\yb_men.dll 安装全局钩子.
如注入 Client.exe 进程则查找窗口名为"YB_OnlineClient"的窗口,通过读取该游戏进程的内存方式盗取网络游戏《热血江湖》的帐号信息并发送至木马种植者指定的接收网址.