病毒名称(中文):
病毒别名:
Win32.HLLP.Lmir.a[AVP]
威胁级别:
★★☆☆☆
病毒类型:
高级语言寄生病毒
病毒长度:
204800
影响系统:
Win9xWinNT
病毒行为:
这是一个盗取传奇游戏帐号信息的并且感染可执行文件的病毒。该病毒首先会尝试用多种进程枚举的方式,关闭一些常用病毒防火墙和一些反木马程序,如瑞星防火墙、天网防火墙、木马克星等。在Win9x下将自己注册为后台服务,隐藏自己的进程。它会感染未被感染的大小适当的可执行程序,将自己写到可执行程序的前面,当运行被感染的程序时首先运行的是病毒。他就挂钩系统的鼠标和键盘消息,截取用户的传奇帐号信息,并将这些帐号信息发送到木马种植者预定的邮箱。
1.将自己复制为:%SystemRoot%\GOG.exe,%SystemRoot%\GOG.sys,%SystemRoot%\GOG.tmp,并在当前目录下生成GOG.sys,GoG.tmp。
2.修改注册表。
添加注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"GOG"="%SystemRoot%\GOG.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"GOG"="%SystemRoot%\GOG.exe"
3.查找窗口名和窗口类,关闭瑞星防火墙,天网防火墙,木马克星,噬菌体,LockDown,ZoneAlarm,并关闭以下进程:
EGHOST.EXE
MAILMON.EXE
netbargp.exe
在Win9X下将自己注册为后台服务,使病毒进程不出现在任务列表中。
4.感染适当大小的可执行程序,将自身写到可执行程序的前面,并将该可执行程序追加到病毒的尾部,在新生成的文件的尾部保存了20字节的病毒信息。
5.发送用户的计算机信息以及传奇帐号信息给预定的邮箱。