病毒大百科

这是一个针对网络游戏《征途》的盗号木马程序。病毒首先会查找杀毒软件瑞星和卡巴斯基弹出的警告窗口，模拟用户鼠标点击允许操作。然后枚举系统上的江民、瑞星、卡巴斯基进程，把它们的进程结束。最后注入游戏进程，盗取游戏账号和密码。

病毒运行后释放以下病毒文件:
%systemroot%\system32\ztinetzt.exe
%systemroot%\system32\ztinetzt.dll

病毒枚举系统上的进程,查找以下进程的 PID:
avp.exe
RUNIEP.EXE
KRegEx.exe
KVXP.kxp

如查找到 avp.exe 则通过修改系统时间,使其失效.如查找到另外三个进程,则通过 ntsd -c q -p 命令结束进程.

创建线钱查找窗口标题为"瑞星注册表监控提示"、"IE 执行保护"、"IE执行保护"、"瑞星卡卡上网安全助手 - IE防漏墙"的窗口,模拟鼠标操作点击以上窗口的"同意修改"、"确定"、"允许执行"、"允许"的按钮.查找窗口类为"AVP.AlertDialog"、"AVP.Product_Notification"、"AVP.TrafficeMonConnectionTerm"的窗口,并模拟鼠标点击以上窗口的"创建规则"、"允许"、"跳过"、"否"的按钮.

释放完病毒文件后通过执行 cmd.exe /c del "病毒源文件" 删除病毒自身(释放源).

病毒进程提权,获取 explorer.exe 进程的 pid 后,创建远程线程注入 explorer.exe. 病毒文件 %systemroot%\system32\ztinetzt.dll 注入 explorer.exe 进程.

盗取系统上的网络游戏《征途》的帐号信息并把盗取的信息发送至木马种植者指定的接收网址.

病毒创建注册表启动项:
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Vluae: "Microsoft Autorun14"
Data: "%systemroot%\system32\ztinetzt.exe"

接收网址如下:
http:/ /www.m**8.cc/hyyzt/lin.asp?srv=##&id=##&p=##&s=##&ss=##&js=##&gj=##&dj=##&yz=##&mb=##&hsn=##
http:/ /www.h****ang.cc/zt/liu1/lin.asp?srv=##&id=##&p=##&s=##&ss=##&js=##&gj=##&dj=##&yz=##&mb=##&hsn=##