爱毒霸社区
拒绝当“肉鸡” 保安获大奖!
顽固病毒解决方案大全
一点一滴学电脑应用技巧
毒霸2008教程——清理专家
欺骗是攻击者最热衷的手法
爱毒霸社区推荐安全工具下载
如何使用命令行查毒
远程清除机器狗病毒实战
清理专家在手,菜鸟杀毒不愁
如何判断进程或程序是否安全
windows安全漏洞的解释索引
史上最强磁碟机病毒清除思路
金山ARP防火墙1.2版功能简介
Win32.Troj.OnLineGamesT.ny.102456
病毒名称(中文):
神泣盗号木马102456
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
102456
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
该病毒是网络游戏《神泣》的盗号木马。它拥有较多的变种,运行后会修改注册表,实现自动启动,然后盗取账号信息,并通过网页提交的方式发送到木马种植者手上。
1.生成文件.
%sys32dir%\aitlasys.exe
%sys32dir%\fstlbsys.sys
%sys32dir%\zptlcsys.dll
2.修改注册表生成启动项
HKEY_CLASSES_ROOT\CLSID\{50940F85-F015-14F1-A05F-F69858AC6D05}
HKEY_CLASSES_ROOT\CLSID\{50940F85-F015-14F1-A05F-F69858AC6D05}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{50940F85-F015-14F1-A05F-F69858AC6D05}\InprocServer32 @ "C:\WINDOWS\system32\zptlcsys.dll"
HKEY_CLASSES_ROOT\CLSID\{50940F85-F015-14F1-A05F-F69858AC6D05}\InprocServer32 ThreadingModel "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {50940F85-F015-14F1-A05F-F69858AC6D05} "zptlcsys.dll"
3.还会生成其他的注册表键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{50940F85-F015-14F1-A05F-F69858AC6D05}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{50940F85-F015-14F1-A05F-F69858AC6D05} @ "zptlcsys.dll"
4.病毒运行后会把dll文件注入到进程当中.
5.病毒运行后会删除病毒源文件.
6.病毒会把盗取得到的账号和密码通过网页提交的方式发送到以下网络地址:
http://www.********.com/11ZZZTT/post.asp
特别提示:上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录,病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异,该显示结果并不必然具备推广适用性。