订阅病毒名稱(中文):
病毒別名:
Trojan.PSW.Lmir.s[AVP]
威脅級別:
★★☆☆☆
病毒類型:
木馬程序
病毒長度:
36028
影響系統:
Win9xWinNT
病毒行爲:
這是一個盜取傳奇帳號密碼的木馬病毒。它不斷的修改注冊表的啓動項,以使字節能夠開機運行。它搜索傳奇遊戲的窗口並截獲其中的帳號和密碼並將其發送給木馬種植者。
1.該病毒會創建互斥體helloooooooMIR防止多個實例運行,創建一個隱藏窗口,窗口類型爲helloooooooMIR,窗口標題爲TheHelloProgram,並駐留內存。
2.將自己複制爲%System%\<病毒原始文件名>.exe並運行,釋放文件%System%\<病毒原始文件名>.dll,大小爲4608字節。
3.修改注冊表:
添加表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WindowsMediaSP.2.37"="%System%\<病毒原始文件名>.exe"
3.關閉包含以下字符串的進程:
netbargp
passwordguard
EGhost
iparmon
mailmon
kvmonxp
ravmon
4.搜索傳奇遊戲的主窗口,截獲遊戲帳號和密碼,通過自帶的發郵件引擎將其發送給木馬種植者。
5.該木馬程序是用VC編寫的,用UPX壓縮過。
