病毒大百科

这是一个盗取多款网络游戏帐号密码的木马程序。病毒会不断重写自身的注册表启动项，防止自己被查杀。它会盗窃《武林外传》、《赤壁》、《天龙八部》、《完美世界》、《征途》等游戏的帐号。

运行后释放的病毒文件:
%sys32dir%\tdggrz.dll（由于是木马群所以文件名有好多）

病毒文件 tdggrz.dll 注入 explorer.exe ctfmon.exe等进程.

病毒不断重写注册表启动项,以防自身的启动项被删除,防止病毒在重启后不运行.

搜索当前是否有游戏窗口，若有，注入该进程中，获取用户账号密码信息。

病毒创建注册表:
HKLM\SOFTWARE\Classes\CLSID\{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}\InProcServer32\: "C:\WINDOWS\system32\tdggrz.dll"
HKLM\SOFTWARE\Classes\CLSID\{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}\InProcServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}\: "MICROSOFT"

病毒通过注册表创建自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}: ""

成功盗取网络游戏的帐号信息后,将盗取所得的信息发送到以下地址:
http://mj.xxxxxx.cn/baba5_p35s/PI.AsP?MD=&Str=&user=&pw=&mb=&username=