病毒行为:
这是一个针对《魔兽世界》的网游盗号木马。它会把盗取的账号信息通过网页提交的方式发送到木马种植者手上。它还具有一定的对抗安全软件能力。
1.生成文件.
%sys32dir%\exlplo.dll
2.修改注册表,增加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WindowsAppInit_DLLs"""exlplo.dll"
3.病毒运行后会把dll文件注入到进程当中,通过设置消息钩子来盗取用户的账号资料.
4.病毒运行后会把安全软件360的进程关闭.
5.病毒运行后还会删除源文件自身.
6.把盗取的账号资料通过网页提交的方式发送到木马种植者手上,以下是发送的网址: