Trojan-Psw.Win32.Lmir.ac

王朝百科·作者佚名  2010-02-19
窄屏简体版  字體: |||超大  

病毒名称: Trojan-Psw.Win32.lmir.ac

病毒类型: 木马

危害等级: 中

文件长度: 88,908 字节

感染系统: windows 9x 以上版本

开发工具: Borland Delphi 6.0 - 7.0

加壳类型: PEtite 2.2

病毒描述:

该病毒是一个盗取密码的木马程序。感染该病毒后删除原病毒体,释放四个病毒文件。修改注册表中 HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 下的值。遍历系统进程,查找某些反病毒及安全软件的进程并试图将其终止,加入系统进程,进程名为 mcc.exe 。

行为分析:

1 、复制自身到系统目录下:

svch0st.exe ,同时释放 objectsl.wix 、 prgusel0.wix 、

prgusel1.wix 病毒相关文件。

2 、修改注册表:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerShellExecuteHooks{081FE200-A103-11D7-A46D-C770E4459F2F}

值: "hookmir"

HKEY_LOCAL_MACHINESOFTWAREClassesPrgusel1.classname@

值: "hookmir"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{081FE200-A103-11D7-A46D-C770E4459F2F}ProgID@

值: "Prgusel1.classname"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{081FE200-A103-11D7-A46D-C770E4459F2F}

InprocServer32ThreadingModel

值: "Apartment"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{081FE200-A103-11D7-A46D-C770E4459F2F}InprocServer32@

值 : 字串 : "C:WINNTSystem32Prgusel1.wix"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{081FE200-A103-11D7-A46D-C770E4459F2F}@

值: "hookmir"

3 、终止某些反病毒软件及安全软件的进程:

PasswordGuard.exe KVXP.KXP

KVMonXP.KXP Symantec AntiVirus

KV2004 RavMon.exe

ZoneAlarm EGHOST.EXE

MAILMON.EXE KAVPFW.EXE

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航