病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
439296
影响系统:
Win9xWinMe
病毒行为:
这是一个在9x系统下偷盗传奇帐号和密码等信息的木马.
能释放病毒文件,修改注册表,安装消息钩子,关闭安全软件,关联文件,修改system.ini和win.ini文件,自动搜索传奇游戏的窗口,搜集帐号,密码,区域,角色等信息,然后用自带的SMTP引擎,把这些信息发送到指定邮箱.
1,释放下列文件:
%system%\SPYING.EXE
%system%\COMIR.EXE
%system%\Finalmir.exe
%windows%\LMIR.EXE
2,增加注册表项:
SoftWare\Microsoft\Windows\CurrentVersion\RunServices
LMir=Finalmir.exe
3,增加注册表项:
"HKCL\txtfile\\shell\\open\\command"
"%windows%\LMIR.EXE"="\"%1\"%*"
关联exe文件,导致每次运行exe文件的时候,病毒会自动运行
4,修改system.ini文件,增加如下字段:
[boot]shell=Finalmir.exe
修改文件,增加如下字段:
[windows]run=Spying.exe
使系统启动时,病毒自动运行
5,注册自身为系统服务,达到隐藏自身的目的
6,关闭下列安全软件:
木马克星
天网防火墙企业版
天网防火墙个人版
RavMonClass
RavMon.exe
7,安装消息钩子,搜索传奇游戏的窗口,搜集敏感信息如:帐号,密码,游戏区域,角色等.
8,利用自带的SMTP引擎把搜集到的信息发送到下列邮箱:
mirmir2@cc07.com
xzq1985115@163.com
