病毒大百科

这是一个盗号木马。它会通过模拟按键的方式躲避杀软的警告窗口。每次启动时，病毒进程名称都不同，但对应的病毒文件却是固定的。病毒会盗取网络游戏《大话西游2》的帐号信息并发送至木马种植者指定的接收网址。

创建线程查找窗口"AVP.AlertDialog"、"AVP.Product_Notification"、"瑞星注册表监控提示",如发现则模拟发送按键消息,使病毒通过"瑞星"和"卡巴斯基"的警告.

通过模拟按键躲避杀软的警告后,病毒执行文件释放、创建注册表启动项、注入进程等操作.

枚举系统进程,查找 explorer.exe 进程,获取其进程ID后,打开该进程,把病毒文件 NVDispDrv.dll 注入到该进程空间内.

病毒通过注入进程的病毒文件 NVDispDrv.dll 文件盗取网络游戏《大话西游2》的帐号信息并发送到木马种植者指定的接收网址.

病毒会把中毒的计算机的计算机名也发送给木马种植者.

病毒创建的注册表启动项指向的病毒 .Exe 文件每次重启后都会改变,但该启动项的 Value 值为固定的 "NVDispDrv".

病毒运行后释放以下病毒文件:
%systemroot%\fzwezc.exe
%systemroot%\system32\NVDispDrv.dll

病毒通过创建注册表启动项实现开机自动运行:
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value: "NVDispDrv"
Data: "%systemroot%\fzwezc.exe"

接收帐号信息的接收网址:
http:/ /www.3*9**8.cn/x**h//lin.asp?ks=sbb1&id=##&p=##&q=##&lck=##&srv=##&js1=##&id1=##&dj1=##&pc=##"