Win32.Troj.Lmir.ge

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

传奇木马

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

172032

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为windows平台下专门针对传奇游戏、盗取用户游戏帐号密码、角色等信息的木马。木马通过多进程守护、隐藏进程技术隐藏病毒。成功获取密码相关信息后,发送到作者指定的网站。

病毒主要能过捆绑软件或欺骗方式进行感染。

1、病毒运行后在Windows目录下释放以下几个文件:

%windir%\Carss.exe

%windir%\winhIp32.exe

%WinDir%\winsvc.exe

%Windir%\Wininit.dll

2、各文件功能如下:

%windir%\Carss.exe;负责生成windir%\winhIp32.exe和%WinDir%\winsvc.exe文件

%windir%\winhIp32.exe;用于监视Carss.exe是否已经运行

%WinDir%\winsvc.exe;病毒自启动程序、加载病毒体程序,同时释放出%Windir%\Wininit.dll

%Windir%\Wininit.dll;主要监视获取传奇游戏帐号密码等信息

3、病毒同时写入以下注册表项,使病毒开机时自动启动:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"winsvc.exe"="winsvc.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]

"Shell"="Explorer.exeC:\\WINNT\\winsvc.exe"

4、病毒运行后查找Explorer窗体,然后注入Wininit.dll的代码。

5、获取到用户相关信息后,通过连接以下网站,发送盗取成功的信息:

http://www.****y.com/mail/login.asp

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航