病毒大百科

病毒在客户计算机上成功运行后删除自身。

在客户计算机上创建事件"68483277"。

病毒创建线程,通过查找窗口的方法关闭卡巴的警告窗口和瑞星注册表监控提示窗口。

病毒文件"cmdbcs.dll"注入 explorer.exe 进程。

在客户计算机上安装钩子程序。

判断病毒文件"cmdbcs.dll"是否注入到以下进程:
client.exe
gameclient.exe
cabalmain.exe
lataleclient.exe
qq.exe
qqgame.exe

盗取客户计算机上的网络游戏《热血江湖》、《惊天动地》、《彩虹岛》、浩方对战平台、QQ、QQ游戏大厅的帐号信息并发送到指定的接收网址。

生成的文件:
%SystemRoot%\cmdbcs.exe
%SystemROot%\system32\cmdbcs.dll

创建的注册表:
注册表项名:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:cmdbcs
数据:"%SystemRoot%\cmdbcs.exe"

指定的接收网址:
hxxp://jt1.sou****.com/c**h/lin.asp?ks=xxx&a=xx&s=xx&u=xx&p=xx&sp=xx&r=xx

总结:此病毒运行后创建注册表启动项,以达到开机运行的作用,盗取客户计算机上的网络游戏《热血江湖》、《惊天动地》、《彩虹岛》、QQ、QQ游戏的帐号信息。