病毒大百科

这是一个针对网络游戏《梦幻西游》的木马生成器。盗号者使用这个工具，可以在电脑上生成盗取《梦幻西游》帐号的木马程序。这种盗号木马多见于网吧等公共场所。

该生成器运行后，用户输入游戏帐号的回传地址，点击生成则会在该生成器所在的目录下生成一个menghuan.exe的文件，这个文件即为梦幻西游的盗号木马。

生成的梦幻西游盗号木马的行为：
释放文件：
%SystemRoot%\Fonts\armease.fom
%SystemRoot%\Fonts\okmhccsb.dll （为一个文本文件，存放回传地址）
%SystemRoot%\system32\okmhcaz.exe
%SystemRoot%\system32\okmhcy.dll

添加注册表项以及行为：
添加如下注册表项，注册为系统组件并随explorer的启动而启动
[HKEY_CLASSES_ROOT\CLSID\{3A57CAD1-412F-9547-713F-9641FA3FC7A3}\InprocServer32]
@="C:\\WINDOWS\\system32\\okmhczy.dll"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3A57CAD1-412F-9547-713F-9641FA3FC7A3}\InprocServer32]
@="C:\\WINDOWS\\system32\\okmhczy.dll"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{3A57CAD1-412F-9547-713F-9641FA3FC7A3}"="okmhczy.dll"

添加如下注册表项，关闭机器的自动更新
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001

修改如下注册表项，将okmhczy.dll注入所有进程
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="okmhczy.dll"

该dll文件会设置全局钩子，如果检测到注入的是my.exe则通过读取游戏内存的方式获取用户的帐号信息并回传到木马投放者指定的地址。

创建一个批处理文件C:\DFD9683046.bat，运行以删除自身