Trojan-PSW.Win32.Lmir.dki

Trojan-PSW.Win32.Lmir.dki

樣本程式被激活後，釋放檔案533931m.exe到%systemroot%目錄下作為主體執行；533931m.ex被執行後釋放動態庫檔案533931mm.dll到同目錄下，修改進程標記賦予調試特權，打開進程explorer.exe，申請記憶體寫入代碼創建遠程執行緒將注入代碼激活。

Explorer.exe被注入後，安裝全局鍵盤鍵盤鉤子，查找TDXDraw的視窗類獲取到進程ID，比較進程名是否為Mir.exe，如果是則把該進程打開後終止，當用戶再次登入時記錄擊鍵信息，讀取記憶體獲取用戶所扮演角色、包包裝備、元寶等信息，通過網頁收信的方式將用戶名、密碼、及其密碼保護等等信息傳送給黑客；連線網路下載其他木馬a.exe到C分區執行。

網頁木馬、檔案捆綁、下載器下載

對於未使用微點主動防禦軟體的用戶，微點反病毒專家建議：

1、不要在不明站點下載非官方版本的軟體進行安裝，避免病毒通過捆綁的方式進入您的系統。

2、儘快將您的防毒軟體特徵庫升級到最新版本進行查殺，並開啟防火牆攔截網路異常訪問，如依然有異常情況請注意及時與專業的安全軟體廠商聯繫獲取技術支持。

3、開啟windows自動更新，及時打好漏洞補丁。

木馬下載連結

http://58.215.**.153:777/MyUnBoundMB.uib