Win32.Troj.Lmir.ah

病毒别名： 处理时间：2006-08-02 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个盗号木马。它会盗取传奇、魔兽等游戏帐号和QQ密码，

并将盗取的帐号密码提交到指定的网页。该病毒在系统中做了很强的自我保护。

建议电脑用户要升级杀毒软件和打开防火墙，以防中毒受害。

1、生成的文件

%SystemRoot%system32

undll32.com

%SystemRoot%system32finder.com

%SystemRoot%finder.com

%SystemRoot%system32command.pif

%SystemRoot%WINLOGON.EXE

%Program Files%intern~1iexplore.com

%Program Files%common~1iexplore.pif

%SystemRoot%explorer.com

%SystemRoot%1.com

%SystemRoot%ExERoute.exe

%D:%pagefile.pif

%D:%autorun.inf

%SystemRoot%system32MSCONFIG.COM

%SystemRoot%system32dxdiag.com

%SystemRoot%system32

egedit.com

%SystemRoot%DebugDebugProgram.exe

2、修改系统exe文件关联

HKLMSOFTWAREClasseswinfilesShellOpenCommand

"Default" = "%SystemRoot%ExERoute.exe "%1" %*"

3、修改System.ini中的shell项

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

"Shell" = "Explorer.exe 1"

4、修改http协议缺省启动程序

HKLMSOFTWAREClasseshttpshellopencommand

"Default" = ""%Program Files%common~1iexplore.pif" -nohome"

5、修改ftp协议缺省启动程序

HKLMSOFTWAREClassesftpshellopencommand

"Default" = ""%Program Files%Internet Exploreriexplore.com" %1"

6、修改htmlfile协议缺省启动程序

HKLMSOFTWAREClasseshtmlfileshellopencommand

"Default" = ""%Program Files%Internet Exploreriexplore.com" -nohome"

7、添加自启动项

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

"Torjan Program" = "%SystemRoot%WINLOGON.EXE"

8、该病毒在系统装了一个类型为WH_MSGFILTER消息钩子监视传奇、QQ等登陆程序，

其申请进程路径是%SystemRoot%WINLOGON.EXE

9、ExERoute.exe进程会监视并维护WINLOGON.EXE进程

10、该病毒在其他非系统盘建了一个autorun.inf，每次双击这些盘都会再次感染该病毒。

11、接收帐号密码的处理网页

http://upd.etsoft.com.cn/UPD/info_new.asp?UID=""&UID88=""

http://upd.etsoft.com.cn/upd/xyqupdate.asp?FV=""&crc=""

http://upd.etsoft.com.cn/upd/wow.htm?crc=

http://upd.etsoft.com.cn/upd/uzt

• ·鱼骨洞
• ·Win32.Hack.Wootbot.cn
• ·犬问荆
• ·Win32.Troj.WowPsw.av
• ·林锦堂
• ·泰国易三仓大学
• ·Win32.Troj.PswGame.ht
• ·Win32.Troj.PswWOW.ch
• ·Win32.Troj.PswQ.fl
• ·Win32.Troj.pswGame.m