病毒大百科

病毒在客户计算机上成功运行后删除自身。

在客户计算机上创建事件"51343281"。

病毒创建线程,通过查找窗口的方法关闭卡巴的警告窗口和瑞星注册表监控提示窗口。

病毒文件"upxdnd.dll"注入 explorer.exe 进程。

在客户计算机上安装钩子程序。

判断病毒文件"upxdnd.dll"是否注入到以下进程:
zhengtu.dat
qq.exe
qqgame.exe

盗取客户计算机上的网络游戏《征途》、QQ、QQ游戏的帐号信息并发送到指定的接收网址。

生成的文件:
%SystemRoot%\upxdnd.exe
%SystemRoot%\system32\upxdnd.dll

添加的注册表:
注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:upxdnd
数据:"%SystemRoot%\upxdnd.exe"

指定的接收网址: hxxp://www.2**od.com/zt/get.php?srv=xx&id=xx&p=xx&s=xx&ss=xx&js=xx&gj=xx&dj=xx&yz=xx&jz=xx

总结:此病毒运行后创建注册表启动项,以达到开机运行的作用,盗取客户计算机上的网络游戏《征途》、QQ、QQ游戏的帐号信息。