patch.exe

patch - patch.exe - 進程信息

進程文件： patch 或者 patch.exe

進程名稱： Trend Micro Pc-Cillin Auto-Updater

注意：patch.exe也可能是NETBUS病毒的一部分。該病毒允許攻擊者訪問你的計算機，竊取密碼和個人數據。

出品者： Trend Micro

屬於： Trend Micro Internet Security Suite

系統進程： 否

後台程序： 否

使用網絡： 是

硬件相關： 否

常見錯誤： 未知N/A

內存使用： 未知N/A

安全等級 (0-5): 0

間諜軟件： 否

廣告軟件: 否

廣告軟件： 否

木馬: 否

patch.exe

Win32.PSWTroj.OnLineGames.ab.60928

病毒名稱(中文):網遊賬號貪吃蛇

60928

病毒別名:威脅級別:★☆☆☆☆

病毒類型:偷密碼的木馬病毒長度:60928

影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003

這是一個盜號木馬程序。該程序首先會尋找含有“遊戲”的窗口，然後建立消息監視程序，截獲用户與網遊服務器之間的網絡數據包，從而盜取用户的賬號相關信息。

1.程序運行後，生成文件

%WINDOWS%\System32\xsbio.dll

%WINDOWS%\System32\patch.exe

2.在註冊表中添加了註冊項，如下：

HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

啓動項名:@ 對應路徑:"C:\WINDOWS\System32\xsbio.dll"

HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

啓動項名:ThreadingModel 對應值:"Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

啓動項名:@ 對應路徑:"C:\WINDOWS\System32\patch.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

啓動項名:ThreadingModel 對應值:"Apartment"

3.木馬會尋找互斥量"_MUTEX_AD_____LOADER "，用來判斷是否已經有木馬在運行；若沒有則會創建文件，

調用xsbio.dll中的函數"JumpHookOn"開始工作。

4.木馬會通過尋找含有"遊戲"的窗口，然後截獲網絡數據包，從而盜取網遊用户的賬號相關信息。