Win32.HLLP.Lmir.a

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

Win32.HLLP.Lmir.a[AVP]

威胁级别:

★★☆☆☆

病毒类型:

高级语言寄生病毒

病毒长度:

204800

影响系统:

Win9xWinNT

病毒行为:

这是一个盗取传奇游戏帐号信息的并且感染可执行文件的病毒。该病毒首先会尝试用多种进程枚举的方式,关闭一些常用病毒防火墙和一些反木马程序,如瑞星防火墙、天网防火墙、木马克星等。在Win9x下将自己注册为后台服务,隐藏自己的进程。它会感染未被感染的大小适当的可执行程序,将自己写到可执行程序的前面,当运行被感染的程序时首先运行的是病毒。他就挂钩系统的鼠标和键盘消息,截取用户的传奇帐号信息,并将这些帐号信息发送到木马种植者预定的邮箱。

1.将自己复制为:%SystemRoot%\GOG.exe,%SystemRoot%\GOG.sys,%SystemRoot%\GOG.tmp,并在当前目录下生成GOG.sys,GoG.tmp。

2.修改注册表。

添加注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

"GOG"="%SystemRoot%\GOG.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"GOG"="%SystemRoot%\GOG.exe"

3.查找窗口名和窗口类,关闭瑞星防火墙,天网防火墙,木马克星,噬菌体,LockDown,ZoneAlarm,并关闭以下进程:

EGHOST.EXE

MAILMON.EXE

netbargp.exe

在Win9X下将自己注册为后台服务,使病毒进程不出现在任务列表中。

4.感染适当大小的可执行程序,将自身写到可执行程序的前面,并将该可执行程序追加到病毒的尾部,在新生成的文件的尾部保存了20字节的病毒信息。

5.发送用户的计算机信息以及传奇帐号信息给预定的邮箱。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航