[历史] 金山毒霸反病毒应急中心7月1日病毒播报_46464_《仙境传说》的盗号木马

病毒名称(中文):仙境传说盗号器122880病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:122880影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

该病毒是网络游戏《仙境传说》的盗号木马。病毒运行后会衍生病毒文件至系统目录下，还会修改注册表生成启动项。最后盗取的账号信息并发送到木马种植者的邮箱当中。

1.生成文件.
C:\WINDOWS\Help\3394C72B3DC4.dll
C:\WINDOWS\Help\3394C72B3DC4.exe

2.修改注册表生成启动项
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5} @ "SSUUDL"
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32 @ "C:\WINDOWS\hELP\3394C72B3DC4.dll"
HKEY_CLASSES_ROOT\CLSID\{BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5}\InProcServer32 ThreadingModel "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {BB7596E3-016E-4A4E-849C-FBFC8FE8E2A5} ""

3.病毒运行后会把dll文件注入到进程当中.

4.病毒运行后会删除病毒源文件.

5.病毒会把盗取得到的账号和密码发送到木马种植的邮箱当中.

顺便提及，该毒具有自我删除的功能，运行完毕后就会删除自己的原始文件，减少被用户发现的可能。