Win32.Troj.Mir2.w(中文名稱:傳奇留影者v1.5)是一款木馬病毒,對Win9x/WinNT/Win2K/WinXP/Win2003系統產生影響。感染該病毒後,它會啟動IExpl0rer.exe和Svch0st.exe兩個進程,且這兩個進程互相監視,如果其中一個被關閉,另一個就會重新啟動被關閉的進程。
基本介紹
- 中文名:傳奇留影者v1.5
- 外文名:Win32.Troj.Mir2.w
- 病毒類型:木馬
- 威脅級別:二星級
基本信息,發作現象,
基本信息
病毒別名:
處理時間:
威脅級別:★★
病毒行為:
編寫工具:
傳染條件:
由於該病毒的檔案名稱與系統IE及svchost.exe非常相似
很容易誘導用戶點擊執行
發作條件:
系統修改:
1.在註冊表主鍵"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun"下,
添加如下鍵值:"shell"="IEXPL0RER.EXE"
2.在註冊表主鍵"HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices"下,
添加如下鍵值:"ctfom"="SVCH0ST.EXE"
3.在註冊表主鍵"HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"下,
添加如下鍵值:"SVCHOST"="SVCH0ST.EXE"
4.在"%SYSTEM%"目錄下,添加如下檔案:"IEXPL0RER.EXE"
5.在"%SYSTEM%"目錄下,添加如下檔案:"SVCH0ST.EXE"
發作現象
2.病毒會結束以下安全軟體進程:
PFW.EXE
PFWMAIN.EXE
EGHOST.EXE
IPARMOR.EXE
MAILMON.EXE
RAV.EXE
RAVMON.EXE
RAVMOND.EXE
RAVMONDTIMER.EXE
KAV32.EXE
KAVSVCUI.EXE
KVXP.KXP
KAVPFW.EXE
3.該病毒會盜取用戶的傳奇賬號與密碼,並傳送到惡意攻擊者的信箱
特別說明:
