病毒名称(中文):
传奇黑面
病毒别名:
Trojan-PSW.Win32.Lmir.xh[AVP],Trojan/PSW.Lmir.aaq
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
44139
影响系统:
Win9xWinNT
病毒行为:
这是一个盗取传奇账号的木马病毒。该病毒发作的时候会将自己拷贝到“系统信息”程序所在的目录(在%SystemDriver%\Progra~1Common~1\Micros~1\msinfo\,注:%SystemDriver%是操作系统所在的分区),病毒及其DLL文件的名称与“系统信息”程序及其DLL文件非常相似,具有很大的欺骗性。该病毒会监视用户的输入,假如是病毒作者感爱好的东西,病毒就会将其记录下来并发送到病毒作者的邮箱中。假如用户的机器中了该病毒,可能会导致传奇账号丢失,从而给用户带来一定的经济损失。
1)将病毒拷贝到“系统信息”程序所在的目录下:
%SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.exe
%SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.dll(Win32.Troj.PSWLmir.24064)
这2个文件的文件名与正常的“系统信息”程序msinfo32.exe及其DLL文件msinfo32.dll非常相似,具有很大的欺骗
性。
注:%SystemDriver%是操作系统所在的分区,例如:C,D,E,F,G
2)在注册表中为病毒添加启动项,以实现病毒的开机自启动:
NT系统:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
"Shell"="Explorer.exe%SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.exe"
非NT系统:
HKEY_CURREN_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run
"Msinfo"="%SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.exe"
