病毒名称:
Trojan.PSW.LMir.xq
类别: 木马病毒
病毒资料:
破坏方法:
盗取传奇游戏密码的木马。
将自身拷贝到系统目录下(2k\NT\XP在%WINDIR%\system32,9x在%WINDIR%\system)下,文件名为SVCH0ST.EXE和IEXPL0RER.exe,注意是数字0而不是字母O。同时启动这两个进程,进行双进程保护。
修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\run
shell : IEXPL0RER.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
SVCHOST : SVCH0ST.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
ctfom : SVCH0ST.EXE
这样每次开机病毒都能启动。
不断遍历进程,结束以下进程:
EGhost.EXE,IPARMOR.EXE,MAILMON.EXE,RAV.EXE,RAVMON.EXE,RAVMOND.EXE,RAVMONDTIMER.EXE,
KAV32.EXE,KAVSVCUI.EXE,KAVPFW.EXE,KVXP.KXP..
不断查找并结束以下窗体:
江民杀毒软件 KV2004:实时监视,RavMon.exe,天网防火墙个人版,天网防火墙企业版,木马克星,噬菌体,ZoneAlarm...
这样,病毒就能结束在国内使用比较广泛的多种单机版杀毒软件和防火墙。
查找窗体"传奇客户端",向窗体上的控件发送消息,获得游戏账号和游戏密码。将获得的密码发往外部主机,方法是使用HTTP协议直接与外部Web服务器通讯,容易避开防火墙。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-11-19