密码是一种用来混淆的技术,使用者希望将正常的(可识别的)信息转变为无法识别的信息。但这种无法识别的信息部分是可以再加工并恢复和破解的。密码在中文里是“口令”(password)的通称。登录网站、电子邮箱和银行取款时输入的“密码”其实严格来讲应该仅被称作“口令”,因为它不是本来意义上的“加密代码”,但是也可以称为秘密的号码。其主要限定于个别人理解(如一则电文)的符号系统。如密码电报、密码式打字机。
过了爱做梦的年纪 、轰轰烈烈不如平静。
“梦幻西游盗号者17408”(PE.Win32.PSWTroj.OnLineGames.17408)是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的账号信息,并下载其它病毒至受害电脑上运行。
病毒名称(中文):梦幻西游盗号者17408
威胁级别:★☆☆☆☆
病毒类型:偷密码的木马
病毒长度:7408
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的账号信息,并下载其它病毒至受害电脑上运行。
1.程序运行后,生成病毒所需文件
%Temp%\D3D9_32.DLL
%Temp%\D3D9_64.DLL
%Temp%\DXDLG.EXE
%system32%\D3D9_32.DLL
%system32%\D3D9_32.DLL
%system32%\DXDLG.EXE
%system32%REGKEY.hiv
2.创建批处理程序,将自己的源文件删除,避免被用户发现。
3.在注册表中添加了注册项,设为自启动,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run DXDLG32 "DXDLG.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDWG32 "LYLoadbr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDCG32 "LYLeador.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDOG32 "LYLoador.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDSG32 "LYLoadar.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDMG32 "LYLoadmr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDHG32 "LYLoadhr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDQG32 "LYLoadqr.exe"
4.将生成的LYL文件注入系统进程services.exe中,并加载MSDEG32.DLL和mhsha1.dat,搜索梦幻西游的进程“MY.EXE”。同时利用MSDEG32.DLL文件来枚举窗口名,查找是否有名字为“梦幻西游”的游戏窗口。
一旦发现目标,病毒就会通过内存读写的方式窃取玩家的账号信息,并将其发送到http://www.r****wd.com/c**/、http://www.5****1.com等木马作者指定的多个远程服务器。
5.另外,该病毒还会从远程服务器下载其他病毒文件安装至本地计算机。