病毒名称(中文):
传奇木马
病毒别名:
Trojan.PSW.LMir.ig[瑞星]
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
64000
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:BorlandDelphi6.0-7.0
传染条件:用户运行该文件,或被他人植入
发作条件:用户玩传奇世界时
系统修改:
A、
1、拷贝自身到:
%SystemRoot%sws32.exe
2、释放文件:
%SystemRoot%swin32.dll
B、
1、向注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
添加如下键值:
"ws_ds"="%SystemRoot%sws32.exe"
2、向注册表主键:
HKEY_LOCAL_MACHINESOFTWAREClasseswoool
添加如下键值:
"sysint"="6"
"WinX"="2"
3修改注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon
"Shell"="Explorer.exe%SystemRoot%sws32.exe"
发作现象:
1、发现有以下杀毒软件的窗口,则关闭该杀毒软件
天网防火墙个人版
天网防火墙企业版
木马克星
噬菌体
ZoneAlarm
EGHOST.EXE
MAILMON.EXE
2、病毒发现有以下窗口时,则会记录用户的相关游戏信息。
传奇世界客户端
传奇世界v1.6.6.1胜者为王
传奇世界v1
3、记录信息包括用户的操作系统、游戏账号、密码、装备等,并将这些信息发到指定信箱。
非凡说明: