近日一款监控卡巴斯基的随机木马需要用户谨慎留意,随机木马会在系统中生成病毒文件并创建注册表服务项目,禁止系统自动更新,下载木马程序……
"梦幻之盗15360"(Win32.Troj.MBER.a.15360)这是一个木马程序。该病毒运行后,会从自身释放出病毒文件,并注入到services.exe或explorer.exe系统进程,以此来隐蔽自身,并从网络上下载盗号程序,来协助完成梦幻西游ONLINE的盗号工作。
"随机木马77856"(Win32.Troj.Unknown.b.77856)这是一个木马程序。病毒会在系统的两个文件夹下生成病毒文件并创建注册表服务项以达到病毒能开机自启动。病毒通过修改注册表的方式禁用系统自动更新,并会修改系统时间,监控杀软"卡巴斯基"的窗口。病毒会从网络下载大量的木马程序保存在客户计算机上并运行。
一、"梦幻之盗15360"(Win32.Troj.MBER.a.15360) 威胁级别:★
1.病毒运行后,产生以下病毒文件
%windows%\system32\LYLOADER.EXE
%windows%\system32\MSDEG32.DLL
%windows%\system32\LYMANGR.DLL
%windows%\system32\Verify.exe
2.该病毒运行成功后,会自删除病毒源文件。
3.当病毒监测到有services.exe或explorer.exe进程时,便会创建远程线程(加载LYMANGR.DLL和MSDEG32.DLL)。
4.病毒添加了启动项(启动项是指随着系统启动而运行的程序)
启动项名:LYLoader.exe 对应路径:%windows%\system32\LYLOADER.EXE
5.病毒还会根据IP从网络上下载病毒。
6.MSDEG32.DLL文件被注入到explorer.exe或services.exe进程后会搜索进程,查找是否有“梦幻西游”的进程,有则
通过Verify.exe病毒文件进行盗取操作。
7.具体发送的的帐号信息包含如下:
帐号,密码,区名,现金数,存银
8.所得到的梦幻西游帐号信息会被发送到以下网址
****a.com/mh2007/post2007kj.asp
****wd.com/cs03/post.asp