这是一个针对网络游戏《奇迹世界》的盗号木马。病毒发作后会破坏系统防火墙和自动更新功能的正常运行,然后注入系统进程,盗取游戏账号。
这是一个针对网络游戏《奇迹世界》的盗号木马。病毒发作后会破坏系统防火墙和自动更新功能的正常运行,然后注入系统进程,盗取游戏账号。
1.病毒会释放以下文件:
%SystemRoot%system32raqjcpi.dll
%SystemRoot%system32raqjcni.dll
%SystemRoot%Fontschqiaur.fon
病毒运行后会将自己拷贝到 %SystemRoot%system32raqjctl.exe,并调用批处理不断删除自己.
且会在注册表中,修改 ShellExecuteHooks 项,使每次重启后 EXPLORER.EXE 进程自动加载 %SystemRoot%system32raqjcpi.dll.
2. 其中 raqjcpi.dll 是注入到其它进程的主DLL 文件.
raqjcni.dll 和 chqiaur.fon 网站的列表,盗取密码之后就发送到一下网址:
http://www.*-*in.cn/bob/post.asp
3.病毒运行后修改注册表中的防火墙和自动更新设置,使 WINDOWS 防火墙被禁用,而自动更新无法被启用,
病毒在处理挂钩是又不断获取数据,发送数据,挂钩..., 使用户的机子变得巨卡无比.
温馨提示:
