病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
72192
影响系统:
Win9xWinNT
病毒行为:
这是一个盗取传奇游戏帐号和密码的木马病毒。它注册为一个钩子组件,当启动Explorer的时候就运行了病毒释放的DLL文件,该文件再启动木马病毒。
1.将自身复制为%System32%\SVCH0ST.EXE,%System32%\MlcrosoftSound.wav,并释放以下DLL文件:
%System32%\lnterapi32.dll
%System32%\lnterapi64.dll
这些文件都是只读、隐藏、系统属性。运行病毒副本%System32%\SVCH0ST.EXE,并在当前目录创建批处理文件“$$336699.bat”,来删除原始
病毒文件。
2.将自己注册为组件,以此来启动病毒自身。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}]
@="hookmir"
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}\InprocServer32]
@="%System32%\lnterapi64.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}\ProgID]
@="lnterapi64.classname""{081FE200-A103-11D7-A46D-C770E4459F2F}"="hookmir"
[HKEY_CLASSES_ROOT\lnterapi64.classname]
@="hookmir"
[HKEY_CLASSES_ROOT\lnterapi64.classname\Clsid]
@="{081FE200-A103-11D7-A46D-C770E4459F2F}"
3.将lnterapi32.dll通过注册窗口钩子的方式注入到其他进程,挂钩系统的鼠标和键盘消息,从而窃取用户的传奇游戏帐号和密码。