病毒名称(中文):
病毒别名:
Trojan.PSW.Lmir.s[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
36028
影响系统:
Win9xWinNT
病毒行为:
这是一个盗取传奇帐号密码的木马病毒。它不断的修改注册表的启动项,以使字节能够开机运行。它搜索传奇游戏的窗口并截获其中的帐号和密码并将其发送给木马种植者。
1.该病毒会创建互斥体helloooooooMIR防止多个实例运行,创建一个隐藏窗口,窗口类型为helloooooooMIR,窗口标题为TheHelloProgram,并驻留内存。
2.将自己复制为%System%\<病毒原始文件名>.exe并运行,释放文件%System%\<病毒原始文件名>.dll,大小为4608字节。
3.修改注册表:
添加表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WindowsMediaSP.2.37"="%System%\<病毒原始文件名>.exe"
3.关闭包含以下字符串的进程:
netbargp
passwordguard
EGhost
iparmon
mailmon
kvmonxp
ravmon
4.搜索传奇游戏的主窗口,截获游戏帐号和密码,通过自带的发邮件引擎将其发送给木马种植者。
5.该木马程序是用VC编写的,用UPX压缩过。