基本介紹
- 中文名:Win32.Troj.PSWLmir.mh
- 類型:電腦病毒
- 處理時間:2006-08-21
- 威脅級別:★
- 病毒類型:木馬
- 影響系統:Win XP,Win 2003 等
傳播方式,病毒行為,支持系統,
傳播方式
病毒主要通過網路欺騙方式進行傳播。
病毒行為
1、病毒運行過程中判斷自身是否為系統目錄下的".exe"檔案,不是則複製自身為以下檔案:
%Windir%\system32\.exe
然後生成"deleteme.bat"檔案,並刪除以下註冊表項,使其"deleteme.bat"可以正常運行:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
NoRealMode = value
2、病毒運行過程中生成以下盜號主程式,並且將該程式注入進程中:
%windir%\system32\MSDBRPTR32.dll
3、生成"%windir%\system32\Getspytype32_.ocx"檔案,內容如下:
[MyIniStr]
strAspUrl=
strMailAddress=
strFmail=
strSmtp=
strMname=
strMpass=
strStname=
strQQmsg=
strMSmsg=
strStartBz=
strMailSize=
PassStrs=
strMmbwl2004=
4、添加如下相關註冊表項:
[HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion]
"bwlpathb" = value
5、病毒運行過程中對應於不同的平台添加以下相關的註冊表自啟動項:
HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_CLASSES_ROOT\exefile\\shell\\open\\command
6、病毒運行後在後台監視記錄用戶傳奇遊戲賬號密碼信息,獲取後將相關信息傳送至病毒作者指定的網站或信箱。
支持系統
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
