盗取传奇密码的木马,采用Delphi编写。
首次运行后将自己拷贝到C:\program files\explorer.exe,并释放动态库cq0dll.dll到系统目录下。
添加注册表启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Loadmecq0 : C:\program files\explorer.exe
这样,每次开机病毒都能启动。
在98下还会注册为服务,增加隐藏性。
病毒每隔1秒钟遍历进程和窗体,结束一些反病毒进程,如:
PasswordGuard.exe,RavMon.exe,天网防火墙个人版,天网防火墙企业版,噬菌体,ZoneAlarm,EGHOST.EXE,MAILMON.EXE,KAVPFW.EXE,IPARMOR.EXE....
大多数为国内反病毒软件,可见病毒作者来自国内。
病毒调用cq0dll.dll里的函数。cq0dll.dll含主要病毒代码,获取“传奇”游戏的窗体和进程,获得其中的关键信息,如帐号、密码、服务器等。在获得关键信息后,病毒直接将信息发送到外部web主机,由于使用HTTP协议,容易躲过防火墙的拦截。
这个是这个病毒的介绍..我电脑重启了病毒也运行
