病毒大百科

这是一个可以盗取多个网络游戏帐号信息的盗号木马。病毒创建线程关闭“瑞星”和“卡巴斯基”的警告窗口，使用户无法知道盗号行为。病毒把盗得的帐号信息分别发送至不同的接收地址。此外，该病毒创建的注册表启动项所指向的 Exe 病毒文件每次开机时都会被重新命名，以迷惑用户。

病毒运行后释放以下病毒文件:
%systemroot%\fzbapl.exe
%systemroot%\system32\RegSrv64D.dll

病毒内部创建线程查找"AVP.AlertDialog"、"AVP.Product_Notification"和"瑞星注册表监控提示"窗口,找到则发送模拟按键消息"允许".

将病毒文件 %systemroot%\system32\RegSrv64D.dll 注入到 explorer.exe 进程空间内.

判断病毒文件 %systemroot%\system32\RegSrv64D.dll 是否注入到以下进程:
cabalmain.exe
china_login.mpr
gameclient.exe
so2game.exe
conquer.exe

盗取系统上的网络游戏《惊天动地》、《剑侠情缘2》、《破天一剑》、《征服》和在线对战平台《浩方》的帐号信息并发送至木马种植者指定的接收网址.

该病毒会在重启前把其注册表启动项指向的 Exe 病毒执行文件重命名,并把重命名后的文件名重写至其启动项.但 Value 名不变,其 Data 数据改变.

病毒创建注册表启动项:
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value: "RegSrv64D"
Data: "%systemroot%\fzbapl.exe" <= 注意此项的值会在重启后改变
木马种植者指定的接收网址如下:
http:/ /www.n＊＊＊＊d.com/xinpotian/lin.asp?u=##&p=##&r=##&l=##&m=##&a=##&s=##&sp=##