病毒名称:
Trojan.PSW.Legendmir.17.b
类别: 木马病毒
病毒资料:
破坏方法:
偷传奇密码的木马。
这是Delphi写的偷传奇密码的木马。由四个文件组成:“eXPl0rer.exe”、
“MFCD3O.DLL”、
“SysModule64.DLL”、
“SysModule32.DLL”
如果用户感染此病毒,建议杀毒后立即重新启动,这样,系统中的病毒模块可以彻底被释放。
一、病毒主程序进行下列操作:
1.拷贝自身为系统目录的“expl0rer.exe”(中间的圈是数字零)
同时释放“MFCD3O.DLL”(自身拷贝)到windows目录
“SysModule64.DLL” 到系统目录。
2 调用“regsvr32.exe”将“SysModule64.DLL”注册为系统COM组件。
regsvr32.exe /s %System%\SysModule64.DLL
3. 运行系统目录的“expl0rer.exe”
4. 创建bat文件,将自身删除。
二、SysModule64.DLL,修改注册表,注册为explorer.exe的扩展模块。被加载到explorer.exe进程中。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ShellExecuteHooks
病毒使用“LegendHook20030324”作为驻留标记。如果“SysModule64.DLL”发现没有该窗口,立即将“MFCD3O.DLL”拷贝生成系统目录的“expl0rer.exe”,并立即运行。
用户进行文件操作时,都会激活“SysModule64.DLL”进行检测,病毒正是采用这种方式保证病毒运行。
三、系统目录的“expl0rer.exe”释放“SysModule32.DLL”。
利用该dll的“EnableMouseHook”、“EnableKeyboardHook”挂结键盘、鼠标钩子。
如果当前输入框的窗口标题是“传奇客户端”、“Legend Of Mir 3”、“legend of mir2”,病毒取得账号、密码、角色、性别等信息,保存到指定文件,发送到指定邮箱。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-12-22