病毒别名:Trojan.PSW.Lmir.in
处理时间:
威胁级别:★
中文名称:
病毒类型:木马
影响系统:Win9X/WinNT/Win2000/WinXP/Win2003
病毒行为:
编写工具:
Microsoft Visual C++ 6.0
传染条件:
发作条件:
系统修改:
A、将自身自制到:
%SystemRoot%heibai.exe
B、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加如下键值
"hb" = "%SystemRoot%heibai.exe"
发作现象:
A、启动后循环等待传奇程序窗口的出现,出现后记录信息。
B、循环如下工作:添加注册表(所以在程序运行期间该注册项一被删除又会被创建),终止如下程序的进程
"pfw.exe"
"Iparmor.exe"
"EGhost.exe"
"PasswordGuard.exe"
"DFVSNET.exe"
"kvfw.exe"
"kvapfw.exe"
C、找到资料后,会通过提交web表单的方式通过一个网站的"www.zy2003.net"或"211.162.75.167"的web页面 "/mail/sendmail.asp"将邮件发往指定邮箱。
D、会不断申请内存,导致内存使用越来越多,最终导致系统内存不足。
特别说明:
传奇(热血)木马,
该木马找到需要的资料后,会通过邮件发到指定邮箱,特别之处在于他在利用了一个网站的WEB页面发信(直接提交填写好的表单)。