病毒名称: Trojan-Psw.Win32.lmir.ac
病毒类型: 木马
危害等级: 中
文件长度: 88,908 字节
感染系统: windows 9x 以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: PEtite 2.2
病毒描述:
该病毒是一个盗取密码的木马程序。感染该病毒后删除原病毒体,释放四个病毒文件。修改注册表中 HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 下的值。遍历系统进程,查找某些反病毒及安全软件的进程并试图将其终止,加入系统进程,进程名为 mcc.exe 。
行为分析:
1 、复制自身到系统目录下:
svch0st.exe ,同时释放 objectsl.wix 、 prgusel0.wix 、
prgusel1.wix 病毒相关文件。
2 、修改注册表:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerShellExecuteHooks{081FE200-A103-11D7-A46D-C770E4459F2F}
值: "hookmir"
HKEY_LOCAL_MACHINESOFTWAREClassesPrgusel1.classname@
值: "hookmir"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{081FE200-A103-11D7-A46D-C770E4459F2F}ProgID@
值: "Prgusel1.classname"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{081FE200-A103-11D7-A46D-C770E4459F2F}
InprocServer32ThreadingModel
值: "Apartment"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{081FE200-A103-11D7-A46D-C770E4459F2F}InprocServer32@
值 : 字串 : "C:WINNTSystem32Prgusel1.wix"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{081FE200-A103-11D7-A46D-C770E4459F2F}@
值: "hookmir"
3 、终止某些反病毒软件及安全软件的进程:
PasswordGuard.exe KVXP.KXP
KVMonXP.KXP Symantec AntiVirus
KV2004 RavMon.exe
ZoneAlarm EGHOST.EXE
MAILMON.EXE KAVPFW.EXE