Win32.Troj.Lmir.ah是一個盜號木馬病毒。它會盜取傳奇、魔獸等遊戲賬號和QQ密碼,並將盜取的賬號密碼提交到指定的網頁。
基本介紹
- 外文名:Win32.Troj.Lmir.ah
- 威脅級別:★
- 處理時間:2006-08-02
- 病毒類型:木馬
- 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為,傳播過程,
病毒行為
該病毒在系統中做了很強的自我保護。
傳播過程
1、生成的檔案
%SystemRoot%\system32\rundll32.com
%SystemRoot%\system32\finder.com
%SystemRoot%\finder.com
%SystemRoot%\system32\command.pif
%SystemRoot%\WINLOGON.EXE
%\Program Files%\intern~1\iexplore.com
%\Program Files%\common~1\iexplore.pif
%SystemRoot%\explorer.com
%SystemRoot%\1.com
%SystemRoot%\ExERoute.exe
%D:%\pagefile.pif
%D:%\autorun.inf
%SystemRoot%\system32\MSCONFIG.COM
%SystemRoot%\system32\dxdiag.com
%SystemRoot%\system32\regedit.com
%SystemRoot%\Debug\DebugProgram.exe
2、修改系統exe檔案關聯
HKLM\SOFTWARE\Classes\winfiles\Shell\Open\Command
"Default" = "%SystemRoot%\ExERoute.exe "%1" %*"
3、修改System.ini中的shell項
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe 1"
4、修改http協定預設啟動程式
HKLM\SOFTWARE\Classes\http\shell\open\command
"Default" = ""%\Program Files%\common~1\iexplore.pif" -nohome"
5、修改ftp協定預設啟動程式
HKLM\SOFTWARE\Classes\ftp\shell\open\command
"Default" = ""%Program Files%\Internet Explorer\iexplore.com" %1"
6、修改htmlfile協定預設啟動程式
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
"Default" = ""%Program Files%\Internet Explorer\iexplore.com" -nohome"
7、添加自啟動項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Torjan Program" = "%SystemRoot%\WINLOGON.EXE"
8、該病毒在系統裝了一個類型為WH_MSGFILTER訊息鉤子監視傳奇、QQ等登入程式,
其申請進程路徑是%SystemRoot%\WINLOGON.EXE
9、ExERoute.exe進程會監視並維護WINLOGON.EXE進程
10、該病毒在其他非系統盤建了一個autorun.inf,每次雙擊這些盤都會再次感染該病毒。
11、接收賬號密碼的處理網頁
http://upd.etsoft.com.cn/UPD/info_new.asp?UID=""&UID88=""
http://upd.etsoft.com.cn/upd/xyqupdate.asp?FV=""&crc=""
http://upd.etsoft.com.cn/upd/wow.htm?crc=
http://upd.etsoft.com.cn/upd/uzt
