“传奇盗号木马9900”(Win32.Troj.LmirT.by.9900) 威胁级别:★★病毒进入用户的电脑系统后,在系统盘%WINDOWS%目录下释放出病毒文件192896M.exe和192896MM.DLL,并修改系统注册表,把自己设置为随系统启动而自动运行。
武器性能
当病毒运行起来,会迅速查找毒霸、卡巴斯基、瑞星、360安全卫士等安全软件的进程,发现后将它们强行中止。然后在后台连接http://www.f**3.com:7*7/这个地址,下载一个名为MyUnBoundMB.uib的文件。这个动作对病毒的作案比较重要,因为该文件可帮助病毒绕开游戏密保的保护。
随后,病毒将之前生成的192896MM.DLL注入到系统桌面进程explorer.exe中,查找网络游戏《传奇》的进程。如果找到,就注入其中,通过读取游戏内存的方法获得帐号密码,并通过网络发送到木马种植者指定的地址,使用户遭受虚拟财产的损失。
附件列表
词条内容仅供参考,如果您需要解决具体问题
(尤其在军事战略、军事时事等领域),建议您咨询相关领域专业人士。
如果您认为本词条还有待完善,请 编辑
上一篇 BLU-114/B“软炸弹” 下一篇 dzhs.exe