爱毒霸社区
拒绝当“肉鸡” 保安获大奖!
顽固病毒解决方案大全
一点一滴学电脑应用技巧
毒霸2008教程——清理专家
欺骗是攻击者最热衷的手法
爱毒霸社区推荐安全工具下载
如何使用命令行查毒
远程清除机器狗病毒实战
清理专家在手,菜鸟杀毒不愁
如何判断进程或程序是否安全
windows安全漏洞的解释索引
史上最强磁碟机病毒清除思路
金山ARP防火墙1.2版功能简介
Win32.PSWTroj.WOW.348160
病毒名称(中文):
魔兽帐号盗贼348160
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
48160
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
该病毒是针对网络游戏《魔兽世界》的盗号木马。病毒运行后会修改注册表增加伪系统服务,注入桌面进程,通过设置消息钩子的方式来盗取游戏的账号和密码。
1.生成文件
C:\WINDOWS\system32\mseam.sys
C:\WINDOWS\system32\ydmhsfl.dll
C:\WINDOWS\system32\yld32.dll
2.修改注册表,增加伪系统服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
Type = dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
ErrorControl = dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
ImagePath = hex(2):5c,53,79,73,74,65,6d,52,6f,6f,74,5c,53,79,73,74,65,6d,33,32,5c,64,72,69,76,65,72,73,5c,77,73,32,69,66,73,6c,2e,73,79,73,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
DisplayName = "Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
Group = "PNP_TDI"
3.把ydmhsfl.dll和yld32.dll注入到Explorer.exe进程当中.
4.病毒运行后还会删除病毒源文件.
5.利用设置消息钩子的方式来盗取游戏的账号和密码.
并把盗取得到的账号信息发送到以下的网址中:
http://www.*****.com/PLtyd.asp
特别提示:上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录,病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异,该显示结果并不必然具备推广适用性。