Win32.Troj.Mir2whboy

這是一個盜取傳奇賬號的木馬病毒。

該病毒會釋放3個病毒副本到系統目錄，其中一個副本的名稱跟某個系統檔案的名稱非常相似；將.txt檔案的關聯修改為病毒檔案，使得每次打開txt檔案時都運行該病毒一次；

機器中毒後，打開.txt檔案時會出現“找不到*.txt。要創建新檔案嗎？”

這樣的提示，導致文本檔案無法正常打開；

關閉一些常見的反病毒軟體，禁止使用註冊表編輯器、任務管理器和系統配置實用程式；將盜取的傳奇賬號傳送到指定的信箱。

該病毒會給用戶帶來.txt檔案無法正常打開、重要檔案損壞、傳奇賬號被盜、系統安全性能嚴重下降等多種不良後果。

1)釋放3個病毒副本：

%System%\mstinitt.exe （檔案名稱與系統檔案mstinit.exe非常相似）

%System%\windows.exe

%System%\logonuit.exe

2)添加註冊表啟動項：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

"windows update"="%System%\logonuit.exe"

HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\Software\Microsoft\Windows\CurrentVersion\Runonce

"windows update"="%System%\logonuit.exe"

3)修改.txt檔案的關聯：

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default)="%System%\mstinitt.exe %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command

(Default)="%System%\mstinitt.exe %1"

4)關閉以下反病毒軟體：

密碼防盜專家 綜合版

PasswordGuard.exe

Symantec AntiVirus 企業版

江民防毒軟體 KV2004：實時監視

RavMon.exe

TfLockDownMain

ZoneAlarm

ZAFrameWnd

天網防火牆個人版

Tapplication

天網防火牆企業版

TForm1

密碼防盜

綠鷹PC

TKillqqv

QQ病毒專殺工具

騰訊QQ病毒

噬菌體

Iparmor.exe

MAILMON.EXE

KAVPFW.EXE