基本介紹
- 外文名:Trojan/PSW.LMir.an
- 病毒類型:木馬
- 病毒大小:124416位元組
- 傳播方式:網路
具體技術特徵如下:
1.病毒運行後,將在用戶計算機中創建以下3個檔案:
%SystemDir%\winscok.exe,124416位元組,病毒本身
%SystemDir%\install.dll,29696位元組,安裝模組
%SystemDir%\winscok.dll,59904位元組,功能模組
2.在註冊表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Runonce中創建:“windows”=“%SystemDir%\winscok.exe”這樣,病毒在系統啟動時即可運行。
3.winscok.exe運行後,會調用install.dll,設定2個系統掛鈎函式。用戶只需在資源管理器中點擊了滑鼠左鍵,掛鈎函式即被激活,以EXPLORER.EXE的身份調用winscok.dll。而病毒主程式winscok.exe此時結束運行。
4.winsock.dll被調用後,開啟4個計時器,分別完成下面的事情:
每隔30秒,通過QQ聊天軟體向用戶的好友傳送包含病毒網址的訊息,可能傳送的不同訊息共有8條;
每隔0.3秒,通過搜尋傳奇客戶端視窗,嘗試獲取遊戲帳號的密碼和裝備信息;
每隔1.5秒,通過直接讀取傳奇程式記憶體的方法,獲取帳號信息;
每隔15秒,把盜取的用戶信息傳送給特定的信箱。
