【IT专家网独家】病毒名称： Trojan-PSW.Win32.OnLineGames.ise

　　病毒类型： 盗号木马

　　文件 MD5：61a6d5c9591d8d754b0282845dfca4f0

　　文件长度： 16,748 字节

　　感染系统： Windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： Upack V0.37 -> Dwing *

　　病毒描述：

　　该病毒属盗盛大通行证类木马。病毒运行后，复制自身到%windir%\MsIMMs32.exE,并衍生病毒文件到%system32%目录下重命名为MsIMMs32.dll;将释放的文件MsIMMs32.dll插入到系统进程explorer.exe中,并删除自身,尝试关闭mcafee、江民等杀毒软件相关进程，添加注册表启动项，以达到随机启动的目的，该病毒盗取用户的盛大通行证的账号与密码。

　　行为分析：

　　1、文件运行后会释放以下文件

　　2、新增注册表启动项

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　新建键值: 字串: "MsIMMs32"="C:\WINDOWS\MsIMMs32.exE"

　　描述: 添加注册表启动项，使病毒达到开机自启动。

　　3、病毒释放的文件MsIMMs32.dll插入到系统进程explorer.exe中。

　　4、尝试关闭mcafee、江民等杀毒软件相关进程：

　　5、该病毒盗取用户的盛大通行证的账号与密码：

　　回传格式：

　　注：

      %Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动的系统的所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% \Documents and Settings

　　\当前用户\Local Settings\Temp

　　%System32% 系统的 System32文件夹

　　Windows2000/NT中默认的安装路径是C:\Winnt\System32

　　Windows95/98/me中默认的安装路径是C:\Windows\System

　　WindowsXP中默认的安装路径是C:\Windows\System32

　　代码分析

　　1、复制自身衍生病毒文件

　　2、插入explorer.exe进程

　　3、尝试以下关闭相关进程：

　　4、添加注册表启动项

　　5、信息回传格式