Win32.Troj.Mir7005Hook.ab

Win32.Troj.Mir7005Hook.ab是一種電腦木馬,影響系統Win9x / WinNT。

基本介紹

  • 外文名:Win32.Troj.Mir7005Hook.ab
  • 威脅級別:★★
  • 病毒類型:木馬
  • 影響系統:Win9x / WinNT
病毒行為
這是一個盜取傳奇遊戲賬號和密碼的木馬病毒。它註冊為一個鉤子組件,當啟動Explorer的時候就運行了病毒釋放的DLL檔案,該檔案再啟動木馬病毒。
1.將自身複製為%System32%\SVCH0ST.EXE,%System32%\MlcrosoftSound.wav,並釋放以下DLL檔案:
%System32%\lnterapi32.dll
%System32%\lnterapi64.dll
這些檔案都是唯讀、隱藏、系統屬性。運行病毒副本%System32%\SVCH0ST.EXE,並在當前目錄創建批處理檔案“$$336699.bat”,來刪除原始
病毒檔案。
2.將自己註冊為組件,以此來啟動病毒自身。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}]
@="hookmir"
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}\InprocServer32]
@="%System32%\lnterapi64.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}\ProgID]
@="lnterapi64.classname""{081FE200-A103-11D7-A46D-C770E4459F2F}"="hookmir"
[HKEY_CLASSES_ROOT\lnterapi64.classname]
@="hookmir"
[HKEY_CLASSES_ROOT\lnterapi64.classname\Clsid]
@="{081FE200-A103-11D7-A46D-C770E4459F2F}"
3.將lnterapi32.dll通過註冊視窗鉤子的方式注入到其他進程,掛鈎系統的滑鼠和鍵盤訊息,從而竊取用戶的傳奇遊戲賬號和密碼。

熱門詞條

聯絡我們