Win32.Hack.FuckCrypt.a.32768  -  词条创建者:admin 12-03 22:34标签: tavo.exe tavo0.dll 游戏橘子被盗 tt.exe
摘要:病毒运行后首先解密自身数据与代码，然后释放到%Windir% t.exe中执行，病毒导入表中只有LoadLibraryA,GetProcAddress,ExitThread三个函数，其他所调用的所有Api都
[阅读全文]
Win32.Hack.FuckCrypt.a.32768  -  词条创建者:admin 11-03 11:49标签:
摘要:这是一个黑客程序，它实际上是一个木马文件，会获取用户系统的操作权限，然后连接到黑客的远程服务器，以便黑客盗窃电脑中的信息或对电脑进行非法控制。

影响系统：
Win9x,WinMe,Linux

简介：
病毒运行后首先解密自身数据与代码，然后释放到%Windir% t.exe中执行，病毒导入表中只有LoadLibraryA,GetProcAddress,ExitThread三个函数，其他所调用的所有Api都

行为分析：
这是个针对《游戏橘子》的网游盗号木马。它具有对抗安全软件的能力，并且数据经过加密处理，试图干扰反病毒工作人员的查杀。
描述：
病毒运行后首先解密自身数据与代码，然后释放到%Windir% t.exe中执行，病毒导入表中只有LoadLibraryA,GetProcAddress,ExitThread三个函数，其他所调用的所有Api都是通过LoadLibraryA,GetProcAddress或者查找Dll文件导出表的方式获取的。



执行tt.exe之后，病毒会再次将自身复制到%sys32dir% avo.exe中，并释放%sys32dir% avo0.dll



病毒会检查系统中是否存在AVP.exe,如果存在的话，会修改AVPsys服务，修改ImagePath为指向病毒文件，用病毒文件覆写

%sys32dir%dllcachecdaudio.sys

%sys32dir%driverscdaudio.sys

%sys32dir%driversklif.sys



添加注册表Run启动项：

SOFTWAREMicrosoftWindowsCurrentVersionRun

指向 %sys32dir% avo.exe



病毒会监视IEFrame窗口，当检查到主机浏览的网页是下列地址时，盗取用户的游戏帐号

https://tw.goodlock.gamania.com/index.aspx

https://tw.gash.gamania.com/GASHLogin.aspx

https://tw.gash.gamania.com/UpdateMainAccountPassword.aspx

https://tw.gash.gamania.com/UpdateServiceAccountPassword.aspx?ServiceCode=

https://tw.event.gamania.com/LineageEvent/CachetSMS/SMS_1.asp

https://tw.event.gamania.com/LineageEvent/CachetSMS/SMS_3.asp

推荐使用金山系统急救箱进行清除，可以进行一键删除该病毒

不知道是不是误报

应该是误报吧

不是误报把

是挂三分毒  还是有一定道理的

路过~~！~！

知道了

早知道了

我说我刚才用他的挂 系统怎么崩溃了呢 原来有毒

谁能给个无毒G +Q739371635 3Q吻你妈去

9L 该换头像了·· 漏X了啊

我是你妈

最近不玩挂..

哈哈 感谢LZ提示！

看来用挂真得小心点...

92的东西没什么可信程度

影子 系统 无视掉

挂=毒

带刀