病毒别名:
处理时间:2004-07-05
威胁级别:★★
中文名称:传奇密码天使
病毒类型:木马
影响系统:Windows 2000, Windows 95, Windows 98, Windows Me,
病毒行为:
编写工具:
vc编写,upx压缩
传染条件:
伪装成有用的程序,诱导用户运行
发作条件:
这是一个传奇木马,用来偷盗传奇3的帐号密码,并通过email发送给攻击者
系统修改:
1,拷贝自身到%System%
2,在%System%建立一个同木马同名的文件,扩展名为dll
3,结束下列进程:
ravmon
passwordguard
mailmon
kavsvcui
vptray
system.exe
IPARMOR.EXE
system
netbargp
EGhost
-+-f+--|
-|+?-+-f+a++
PASSWO~1
EGhostmailmon
kvmonxp
pfw.exe
Iparmor.exe
Eghost.exe
PasswordGuard.exe
DFVSNET.EXE
Kvfw.exe
kvapfw.exe
4,如果用户安装了传奇3,当用户输入帐号密码时,进行截图,并把截图结果发送给攻击者
5,想注册表添加:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Ntech.patchs"="%System%"
发作现象:
木马运行后,如果用户安装了防火墙,将会出现防火墙不可用或者莫名其妙退出的情况.
特别说明: