详尽分析:偷取密码的"梦幻西游盗号者"

　　“梦幻西游盗号者17408”(PE.Win32.PSWTroj.OnLineGames.17408)是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的账号信息，并下载其它病毒至受害电脑上运行。

　　病毒名称(中文)：梦幻西游盗号者17408

　　威胁级别：★☆☆☆☆

　　病毒类型：偷密码的木马

　　病毒长度：7408

　　影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

　　病毒行为：

　　这是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的账号信息，并下载其它病毒至受害电脑上运行。

　　1.程序运行后，生成病毒所需文件

%Temp%\D3D9_32.DLL
%Temp%\D3D9_64.DLL
%Temp%\DXDLG.EXE
%system32%\D3D9_32.DLL
%system32%\D3D9_32.DLL
%system32%\DXDLG.EXE
%system32%REGKEY.hiv
 
　　2.创建批处理程序，将自己的源文件删除，避免被用户发现。

　　3.在注册表中添加了注册项，设为自启动，如下：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run DXDLG32 "DXDLG.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDWG32 "LYLoadbr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDCG32 "LYLeador.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDOG32 "LYLoador.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDSG32 "LYLoadar.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDMG32 "LYLoadmr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDHG32 "LYLoadhr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run MSDQG32 "LYLoadqr.exe"
　
　　4.将生成的LYL文件注入系统进程services.exe中，并加载MSDEG32.DLL和mhsha1.dat，搜索梦幻西游的进程“MY.EXE”。同时利用MSDEG32.DLL文件来枚举窗口名，查找是否有名字为“梦幻西游”的游戏窗口。

　　一旦发现目标，病毒就会通过内存读写的方式窃取玩家的账号信息，并将其发送到http://www.r****wd.com/c**/、http://www.5****1.com等木马作者指定的多个远程服务器。

　　5.另外，该病毒还会从远程服务器下载其他病毒文件安装至本地计算机。