病毒别名：TrojanDownloader.Win32.Small.hf[AVP]
处理时间：
威胁级别：★★
中文名称：
病毒类型：木马
影响系统：Win98/WinNT
病毒行为:
该病毒伪装成一个rar压缩包，一旦运行之后将释放一个DLL文件，然后修改注册表替换掉系统通信的DLL文件，截获并分析用户的传奇数据包，从而窃取用户的传奇帐号和密码。

1.释放文件：%system%\ws2_64.dll（Win32.Troj.Pasorot.k）。

2.修改注册表。
修改键值：
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\WinSock\
"1001"="%SystemRoot%\system32\msafd.dll"
"1002"="%SystemRoot%\system32\msafd.dll"
"1003"="%SystemRoot%\system32\msafd.dll"
"1004"="%SystemRoot%\system32\rsvpsp.dll"
"1005"="%SystemRoot%\system32\rsvpsp.dll"
"PathName"="C:\WINNT\System32\ws2_64.dll"

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\
"PackedCatalogItem"="<%system%\ws2_64.dll...>"

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\
"PackedCatalogItem"="<%system%\ws2_64.dll...>"

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\
"PackedCatalogItem"="<%system%\ws2_64.dll...>"

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\
"PackedCatalogItem"="<%system%\ws2_64.dll...>"

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\
"PackedCatalogItem"="<%system%\ws2_64.dll...>"

3.通过将Sock函数对应的DLL替换成ws2_64.dll，截取数据包。然后分析数据包中的传奇密码数据修改用户传奇密码。

·上一篇: Win32.Troj.Delf.bz
·下一篇: Win32.Troj.FakePhoto