梦幻之盗15360(Win32.Troj.MBER.a.15360)

时间:2007-10-20 17:09:35 来源: 作者:

"梦幻之盗15360"(Win32.Troj.MBER.a.15360)这是一个木马程序。该病毒运行后，会从自身释放出病毒文件，并注入到services.exe或explorer.exe系统进程，以此来隐蔽自身，
并从网络上下载盗号程序，来协助完成梦幻西游ONLINE的盗号工作。

     一、"梦幻之盗15360"(Win32.Troj.MBER.a.15360)    威胁级别：★
     1.病毒运行后，产生以下病毒文件
%windows%\system32\LYLOADER.EXE
%windows%\system32\MSDEG32.DLL
%windows%\system32\LYMANGR.DLL
%windows%\system32\Verify.exe

2.该病毒运行成功后，会自删除病毒源文件。

3.当病毒监测到有services.exe或explorer.exe进程时，便会创建远程线程(加载LYMANGR.DLL和MSDEG32.DLL)。

4.病毒添加了启动项(启动项是指随着系统启动而运行的程序)
启动项名:LYLoader.exe 对应路径:%windows%\system32\LYLOADER.EXE

5.病毒还会根据IP从网络上下载病毒。

6.MSDEG32.DLL文件被注入到explorer.exe或services.exe进程后会搜索进程，查找是.否有“梦幻西游”的进程，有则通过Verify.exe病毒文件进行盗取操作。

7.具体发送的的帐号信息包含：“ 帐号，密码，区名，现金数，存银”

8.所得到的梦幻西游帐号信息会被发送到以下网址