这是一个网游盗号木马,它会注入桌面进程explorer.exe。如果发现有《魔兽世界》、《破天一剑》、《浩方》、《惊天动地》、《完美世界》、《QQ游戏》以及QQ的主程序,就会通过读取相关进程内存的方式盗取用户的帐号信息。
木马将自身复制到
%systemRoot%\mppds.exe
添加注册表项目实现开机自启动:
HEKY_LOCAL_MACHINE_SoftWare\Microsoft\Windows\CurrentVersion\RUN\mppds @="%systemRoot%\mppds.exe"
读取资源释放文件
%systemRoot%\system32\mppds.dll
并将该dll文件注入explorer.exe的进程空间中
该木马会注入explorer.exe,并设置全局钩子。如果发现有特定的游戏进程或者窗口则创建相应的线程,通过读取内存的方式盗取用户帐号信息。
中毒后可到金山毒霸、瑞星、江民等网站下载专杀,卡巴斯基可预防,建议全部格式化从做系统
整理:游民星空
