Trojan.PSW.Win32.GameOL.lpi的病毒行为

 我来答
忘偶识E
2016-06-01 · TA获得超过126个赞
知道答主
回答量:186
采纳率:0%
帮助的人:110万
展开全部

1、 释放病毒副本:
Trojan.PSW.Win32.GameOL.lhu,首先在Fonts目录以比较字符串方式判断raqjmtl.exe和raqjmni.dll是否已经存在C:\WINDOWS\Fonts\raqjmtl.exe
C:\windows\Fonts\raqjmni.dll
2、 raqjmni.dll加入注册表,开机注入Explorer:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Registry value:
Type: REG_SZ
Value: raqjmpi.dll
3、 释放P处理,删除文件:
%Systemroot%\System32\verclsid.exe
4、 注入Explorer,每隔几毫秒检测新进程启动,并将raqjmpi.dll插入。
5、 如果启动的进程为sungame.exe、TQAT.exe,则结束。
6、 然后在用户重启游戏的时候,raqjmpi.dll则记录它的帐号和密码的输入操作。
最后发送至外部,完成盗号过程。
7、 病毒的其他工作:
(1)禁用系统自动更新和防火墙
(2)每隔3毫秒检测自身注册表,如果不在则重新生成。
(3)完全释放后删除旧体,毁尸灭迹。

已赞过 已踩过<
你对这个回答的评价是?
评论 收起
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式