“魔兽地狱烈焰盗号者”
03月 26th, 2008 -
“魔兽地狱烈焰盗号者”(PE.Win32.PSWTroj.OnLineGames.90112)
病毒进入电脑后,立即修改%windows%目录下的系统文件win.ini。别看这个文件不起眼,它在系统中是负责配置Windows开机程序、警告声音、键盘响应的速度等属性的,对它进行修改,会有利于病毒下一步的破坏活动。
同时,病毒释放出病毒文件msoscqit00.dll,将它写入系统注册表,实现开机自启动。搜索并尝试关闭杀毒软件卡巴斯基的进程,然后将该文件注入系统进程services.exe中,用搜索进程和枚举窗口名的方式寻找《魔兽世界》的进程。一旦发现目标,病毒就会通过内存读写的方式窃取玩家的帐号信息,并将其发送到木马作者指定的多个远程服务器。
从注入services.exe运行,可看出病毒的狡猾。这个文件用于管理启动和停止服务,是微软Windows操作系统必不可少的一部分,如果用户试图用直接中止该进程的方式关闭病毒,电脑可能就会出现异常。看来,病毒是希望绑架services.exe ,如“地狱烈焰”般一损俱损,阻止用户查杀。不过,只要已经安装金山毒霸,就可免去担心了。