网站地图
Win32.Troj.Gamania.y

<%=m.description%>

  病毒别名:
  处理时间:
  威胁级别:★
  中文名称:
  病毒类型:木马
  影响系统:Win9x / WinNT
  病毒行为:
  这是一个盗取橘子公司所有游戏(如 天堂1,天堂2)帐户密码的木马, 该木马通过监视用户登陆游戏橘子的网站,用户输入的帐户和密码,来窃取用户重要信息.改病毒会终止大量的安全类软件,来延长自己的生命周期,进一步加大了用户的损失.
  1.文件增加:
  %systemroot%\Java\winlogin.exe
  %systemroot%\inf\ie00.inf
  %systemroot%\inf\deomen.exe
  2.修改的文件:
  防火墙规则,逃避防火墙的监控.
  hosts:
  127.0.0.1 localhost
  127.0.0.1 avp.com
  127.0.0.1 ca.com
  127.0.0.1 customer.symantec.com
  127.0.0.1 dispatch.mcafee.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 f-secure.com
  127.0.0.1 kaspersky.com
  127.0.0.1 www.kasperksy-labs.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 liveupdate.symantecliveupdate.com
  127.0.0.1 mast.mcafee.com
  127.0.0.1 mcafee.com
  127.0.0.1 my-etrust.com
  127.0.0.1 nai.com
  127.0.0.1 networkassociates.com
  127.0.0.1 rads.mcafee.com
  127.0.0.1 secure.nai.com
  127.0.0.1 securityresponse.symantec.com
  127.0.0.1 sophos.com
  127.0.0.1 symantec.com
  127.0.0.1 trendmicro.com
  127.0.0.1 update.symantec.com
  127.0.0.1 updates.symantec.com
  127.0.0.1 us.mcafee.com
  127.0.0.1 viruslist.com
  127.0.0.1 www.avp.com
  127.0.0.1 www.ca.com
  127.0.0.1 www.f-secure.com
  127.0.0.1 www.kaspersky.com
  127.0.0.1 www.mcafee.com
  127.0.0.1 www.my-etrust.com
  127.0.0.1 www.symantec.com
  127.0.0.1 www.viruslist.com
  127.0.0.1 kaspersky-labs.com
  127.0.0.1 downloads-eu1.kaspersky-labs.com
  127.0.0.1 downloads-us1.kaspersky-labs.com
  127.0.0.1 downloads1.kaspersky-labs.com
  127.0.0.1 downloads2.kaspersky-labs.com
  127.0.0.1 downloads3.kaspersky-labs.com
  127.0.0.1 downloads4.kaspersky-labs.com
  127.0.0.1 windowsupdate.microsoft.com
  127.0.0.1 downloads5.kaspersky-labs.com
  127.0.0.1 ftp.avp.ru
  127.0.0.1 updates3.kaspersky-labs.com
  127.0.0.1 updates2.kaspersky-labs.com
  127.0.0.1 updates1.kaspersky-labs.com
  127.0.0.1 ftp.kaspersky.com
  127.0.0.1 downloads-us22.kaspersky-labs.com
  127.0.0.1 downloads-us1.kaspersky-labs.com
  127.0.0.1 downloads-us2l.kaspersky-labs.com
  127.0.0.1 downloads-eu2l.kaspersky-labs.com
  127.0.0.1 v4.windowsupdate.microsoft.com
  127.0.0.1 v5.windowsupdate.microsoft.com
  127.0.0.1 windowsupdate.microsoft.com
  127.0.0.1 221.215.84.2
  127.0.0.1 210.51.23.7
  127.0.0.1 www.szadk.com
  127.0.0.1 asp3.6to23.com
  127.0.0.1 www.akoak.com
  127.0.0.1 www.ky173.com
  127.0.0.1 www.999sj.com
  3.增加注册表起始项,使病毒开机运行
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  BossIdea
  C:\WINNT\java\winlogin.exe
  4.结束以下进程和窗口:
  KVMonXP.KXP
  KVXP.KXP
  噬菌体
  svch0st.EXE
  test.EXE
  ghost.EXE
  svchost.EXE
  KAVSVC.EXE
  KAV.EXE
  MAILMON.EXE
  EGHOST.EXE
  IPARMOR.EXE
  KAVPFW.EXE
  ZAFrameWnd
  ZoneAlarm
  TfLockDownMain
  PwrMonitorRunDllWin
  KVXP_Monitor
  江民杀毒软件:实时监控
  Kaspersky Anti-Virus Personal
  卡巴斯基反病毒单机版
  任务管理器
  运行窗口
  天网防火墙企业版
  天网防火墙个人版
  Tapplication
  RavMon.exe
  RavMonClass
  5.通过发送邮件的方式把所窃取的用户信息发送出去:
  发信人为:guanzhujiaodian@163.com
  收信人为:gzh0cudizhuo@126.com
  标题为:'HELO imBamBooX'


相关文章推荐: