您现在的位置： >> >> >> >> 正文
分析偷取密码的“梦幻西游盗号者”
2008-3-6
“梦幻西游盗号者17408”(PE.Win32.PSWTroj.OnLineGames.17408)是一个盗号木马程序。该程序会盗取网络游戏《
》的账号信息，并下载其它病毒至受害电脑上运行。
病毒名称(中文)：
盗号者17408
威胁级别：★☆☆☆☆
病毒类型：偷密码的木马
病毒长度：7408
影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为：
这是一个盗号木马程序。该程序会盗取网络游戏《
》的账号信息，并下载其它病毒至受害电脑上运行。
1.程序运行后，生成病毒所需文件
%Temp%\D3D9_32.DLL
%Temp%\D3D9_64.DLL
%Temp%\DXDLG.EXE
%system32%\D3D9_32.DLL
%system32%\D3D9_32.DLL
%system32%\DXDLG.EXE
%system32%REGKEY.hiv
2.创建批处理程序，将自己的源文件删除，避免被用户发现。
3.在注册表中添加了注册项，设为自启动，如下：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run DXDLG32 "DXDLG.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDWG32 "LYLoadbr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDCG32 "LYLeador.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDOG32 "LYLoador.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDSG32 "LYLoadar.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDMG32 "LYLoadmr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDHG32 "LYLoadhr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDQG32 "LYLoadqr.exe"
4.将生成的LYL文件注入系统进程services.exe中，并加载MSDEG32.DLL和mhsha1.dat，搜索梦幻西游的进程“MY.EXE”。同时利用MSDEG32.DLL文件来枚举窗口名，查找是否有名字为“
”的游戏窗口。一旦发现目标，病毒就会通过内存读写的方式窃取玩家的账号信息，并将其发送到http://www.r****wd.com/c**/、http://www.5****1.com等木马作者指定的多个远程服务器。
5.另外，该病毒还会从远程服务器下载其他病毒文件***至本地计算机。
上一篇文章：
下一篇文章：
相关文章
我来说两句
数据载入中，请稍后……
·请遵守《
》及中华人民共和国其他各项有关法律法规。
·用户发表意见仅代表其个人意见，并且承担一切因发表内容引起的纠纷和责任。
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据。
·请客观的评价您所看到的资讯，提倡就事论事，杜绝漫骂和人身攻击等不文明行为。
本文来源地址：
声明：本站所发表的文章、评论及图片仅代表作者本人观点，与本站立场无关。若文章侵犯了您的相关权益，请及时与我们联系，我们会及时处理，感谢您对本站的支持！联系邮箱：su ort@txwb.com.
天下网吧·网吧天下
推荐文章 本周热门 |
联系邮箱:Email :su ort#txwb.com (#换成@)
天下网吧，网吧天下，打造最大网吧联盟,对本站有任何建议和意见可以直接在线QQ提出.感谢你的关注
天下网吧,网吧天下.Copy.Txwb.com 2008-2010详尽分析:偷取密码的梦幻西游盗号者
2008年03月26日13:37 来源： 【字号
E-mail推荐: 　　“梦幻西游盗号者17408”(PE.Win32.PSWTroj.OnLineGames.17408)是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的账号信息，并下载其它病毒至受害电脑上运行。 　　病毒名称(中文)：梦幻西游盗号者17408 　　威胁级别：★☆☆☆☆ 　　病毒类型：偷密码的木马 　　病毒长度：7408 　　影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003 　　病毒行为： 　　这是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的账号信息，并下载其它病毒至受害电脑上运行。 　　1.程序运行后，生成病毒所需文件 %Temp%\D3D9_32.DLL
%Temp%\D3D9_64.DLL
%Temp%\DXDLG.EXE
%system32%\D3D9_32.DLL
%system32%\D3D9_32.DLL
%system32%\DXDLG.EXE
%system32%REGKEY.hiv 　　2.创建批处理程序，将自己的源文件删除，避免被用户发现。 　　3.在注册表中添加了注册项，设为自启动，如下： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Ru DXDLG32 quot;DXDLG.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Ru MSDWG32 quot;LYLoadbr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Ru MSDCG32 quot;LYLeador.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Ru MSDOG32 quot;LYLoador.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Ru MSDSG32 quot;LYLoadar.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Ru MSDMG32 quot;LYLoadmr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Ru MSDHG32 quot;LYLoadhr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Ru MSDQG32 quot;LYLoadqr.exe
　　4.将生成的LYL文件注入系统进程services.exe中，并加载MSDEG32.DLL和mhsha1.dat，搜索梦幻西游的进程“MY.EXE”。同时利用MSDEG32.DLL文件来枚举窗口名，查找是否有名字为“梦幻西游”的游戏窗口。
　　一旦发现目标，病毒就会通过内存读写的方式窃取玩家的账号信息，并将其发送到http://www.r****wd.com/c**/、http://www.5****1.com等木马作者指定的多个远程服务器。 　　5.另外，该病毒还会从远程服务器下载其他病毒文件***至本地计算机。 （责任编辑：宋阳）
我要发表留言
匿名发表 署名: 验证码： 新闻检索: 热图推荐 精彩新闻
· 播客·视频 数码导购
· 一周精品回顾
· 彩信·手机报 |
人 民 网 , 未 经 书 面 授 权 禁 止 使 用
Copyright 1997-2008 by www.people.com.cn all rights reserved详尽分析偷取密码的“梦幻西游盗号者”
发布时间：2008.03.26 05:41 来源：赛迪网 作者：king
【赛迪网-IT技术报道】“梦幻西游盗号者17408”(PE.Win32.PSWTroj.OnLineGames.17408)是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的账号信息，并下载其它病毒至受害电脑上运行。
病毒名称(中文)：梦幻西游盗号者17408
威胁级别：★☆☆☆☆
病毒类型：偷密码的木马
病毒长度：7408
影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为：
这是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的账号信息，并下载其它病毒至受害电脑上运行。
1.程序运行后，生成病毒所需文件
%Temp%\D3D9_32.DLL
%Temp%\D3D9_64.DLL
%Temp%\DXDLG.EXE
%system32%\D3D9_32.DLL
%system32%\D3D9_32.DLL
%system32%\DXDLG.EXE
%system32%REGKEY.hiv
2.创建批处理程序，将自己的源文件删除，避免被用户发现。
3.在注册表中添加了注册项，设为自启动，如下：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run DXDLG32 DXDLG.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDWG32 LYLoadbr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDCG32 LYLeador.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDOG32 LYLoador.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDSG32 LYLoadar.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDMG32 LYLoadmr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDHG32 LYLoadhr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDQG32 LYLoadqr.exe
4.将生成的LYL文件注入系统进程services.exe中，并加载MSDEG32.DLL和mhsha1.dat，搜索梦幻西游的进程“MY.EXE”。同时利用MSDEG32.DLL文件来枚举窗口名，查找是否有名字为“梦幻西游”的游戏窗口。一旦发现目标，病毒就会通过内存读写的方式窃取玩家的账号信息，并将其发送到http://www.r****wd.com/c**/、http://www.5****1.com等木马作者指定的多个远程服务器。
5.另外，该病毒还会从远程服务器下载其他病毒文件***至本地计算机。
(责任编辑：李磊)
[ ] [ ] 【
相关文章
客户需求反馈表
姓　　名:
更多资料　
了解方案　
认识厂商
详细需求信息请在此处填写!
单位名称:
联系***:
电子邮件:
访问人数过多，请稍候访问
访问人数过多，请稍候访问