病毒名称:
Trojan.PSW.Lmir.g
类别: 木马病毒
病毒资料:
破坏方法:
Delphi写的木马,UPX加壳。用来盗取传奇密码。
首次运行时将自己拷贝到系统目录下,文件名分别为SVCH0ST.EXE和IEXPL0RER.EXE。
写注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run
shell : IEXPL0RER.EXE
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
SVCHOST : SVCH0ST.EXE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices
ctfom : SVCH0ST.EXE
这样病毒能随开机而启动。
然后同时启动两个拷贝。两个进程进行双进程保护,一个被结束了另一个马上又将它恢复,使得手工结束病毒很困难。
查找活动窗体,能结束国内多种著名反病毒程序和防火墙。
遍历窗体,查找传奇登陆窗口,盗取登陆密码和物品信息。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-10-28
