Win32.Troj.PSWLmir.kj

Win32.Troj.PSWLmir.kj是一個盜取傳奇遊戲賬號信息的並且感染執行檔的病毒。

基本介紹

  • 外文名:Win32.Troj.PSWLmir.kj
  • 威脅級別:★★
  • 病毒類型:木馬
  • 影響系統:Win9x / WinNT
病毒別名:Trojan.PSW.Lmir.kj[AVP]
病毒行為:
該病毒首先會嘗試用多種進程枚舉的方式,關閉一些常用病毒防火牆和一些反木馬程式,如瑞星防火牆天網防火牆木馬剋星等。在Win9x下將自己註冊為後台服務,隱藏自己的進程。它會感染適當大小的可執行程式,將自己寫到可執行程式的前面,當運行被感染的程式時首先運行的是病毒。他就掛鈎系統的滑鼠和鍵盤訊息,截取用戶的傳奇賬號信息,並將這些賬號信息傳送到木馬種植者預定的信箱。
1.將自己複製為:%SystemRoot%\GOG.exe,%SystemRoot%\GOG.sys, %SystemRoot%\GOG.tmp,並在當前目錄下生成<病毒檔案名稱>.sys, <病毒檔案名稱>.tmp。
2.修改註冊表。
添加啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"GOG"="%SystemRoot%\GOG.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"GOG"="%SystemRoot%\GOG.exe"
修改註冊表:
HKEY_CLASSES_ROOT\legend of mir2\
"WinX"="1"
"NowCount"="0"
3.查找視窗名和視窗類,關閉瑞星防火牆天網防火牆木馬剋星,噬菌體,LockDown,ZoneAlarm,並關閉以下進程:
EGHOST.EXE
MAILMON.EXE
netbargp.exe
在Win9X下將自己註冊為後台服務,使病毒進程不出現在任務列表中。
4.感染適當大小的可執行程式,將自身寫到可執行程式的前面,並將該可執行程式追加到病毒的尾部,在新生成的檔案的尾部保存了某些病毒信息。
5.傳送用戶的計算機信息以及傳奇賬號信息給預定的信箱。
6.該病毒用ASPack加殼。

熱門詞條

聯絡我們