|
本地行为:
1、该病毒运行后衍生病毒文件到系统目录system32文件夹下:
%system32%\kvdxhcf.dll
%system32%\kvdxhma.dll
%system32%\kvdxhis.exe
2、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{8C87A354-ABC3-DEDE-FF33-3213FD7447C8}
\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\kvdxhma.dll"
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Windows\AppInit_DLLs
新: 字符串: "kvdxhma.dll"
旧: 字符串: ""
网络行为:
1、遍历进程,如进程列表中有大话西游游戏的进程,则将病毒衍生的DLL文件插入
到其进程中,从而盗取网络游戏大话西游II的账号与密码。
2、病毒将盗取的网络游戏大话西游II的账号与密码发送到指定的网站:
http://www.1988****.com/cc/post.asp
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
|
病毒标签:
病毒上报信箱: