病毒名称(中文):
传奇木马2.0贵宾版
病毒别名:
Trojan.PSW.Lmir.qr[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
52736
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
传奇木马
编写工具:BorlandDelphi
传染条件:通过网页脚本下载
发作条件:用户误运行,或利用IE脚本漏洞运行。
系统修改:
A、在系统根目录生成如下文件:
%SystemRoot%Mfearch.exe
B、木马在系统根目录释放如下文件:
%SystemRoot%wuxm_32.dll
C、修改注册表主键
HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon
为:
"Shell"="Explorer.exe%SystemRoot%Mfearch.exe"
D、木马会建立互斥量
"kkk20040418"
保证只有一个木马运行。
发作现象:
A、用户运行传奇游戏后,会记录用户游戏帐号信息:
包括用户角色的区、帐号、密码、服务器、角色名称、角色等级、角色装备、物品。
B、木马得到这些信息后,会将信息发送到一个ASP网页中,网页地址为
http://www.kuvip.com/13456mail/free/13456.asp?tomail=盗窃者的邮箱&MailBody=传奇相关信息
C、ASP脚本处理后,发到盗窃者的邮箱里。
非凡说明: