病毒名称(中文):
病毒别名:
Trojan.PSW.Lmir.in<AVP>
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
13824
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
MicrosoftVisualC++6.0
传染条件:
发作条件:
系统修改:
A、将自身自制到:
%SystemRoot%heibai.exe
B、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加如下键值
"hb"="%SystemRoot%heibai.exe"
发作现象:
A、启动后循环等待传奇程序窗口的出现,出现后记录信息。
B、循环如下工作:添加注册表(所以在程序运行期间该注册项一被删除又会被创建),终止如下程序的进程
"pfw.exe"
"Iparmor.exe"
"EGhost.exe"
"PasswordGuard.exe"
"DFVSNET.exe"
"kvfw.exe"
"kvapfw.exe"
C、找到资料后,会通过提交web表单的方式通过一个网站的"www.zy2003.net"或"211.162.75.167"的web页面"/mail/sendmail.asp"将邮件发往指定邮箱。
D、会不断申请内存,导致内存使用越来越多,最终导致系统内存不足。
非凡说明:
传奇(热血)木马,
该木马找到需要的资料后,会通过邮件发到指定邮箱,非凡之处在于他在利用了一个网站的WEB页面发信(直接提交填写好的表单)。
