Win32.Troj.PSWLmir.cy

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

14481

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为Windows平台下专门针对于传奇网络游戏的以盗取用户游戏帐号密码为目的的特洛伊木马，病毒将自身伪装成系统正常文件，以迷惑用户；病毒运行时终止相关反病毒软件进程，并恶意删除反病毒软件服务，

病毒通过查找窗体的方式定位传奇游戏主窗体，然后在后台获取用户游戏帐号、密码等信息并通过网络将信息发送给病毒作者。同时网络可用时病毒连接特定的网站下载其它病毒。

病毒主要通过网络欺骗和捆绑软件方式进行传播。

1、病毒运行后装自身伪装成以下伪系统正常文件:

%Windir%\system32\winmer.exe

2、病毒运行过程中生成以下文件:

%Windir%\vbarun.dll(实际是一个配置文件)

%Windir%\system32\GroupPolicy\Machine\Scripts\scripts.ini

3、通过添加以下注册表项，实现病毒的开机自动运行:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

"KernelCheck"="%Windir%\system32\winmer.exe"

4、病毒运行时添加以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft

5、病毒在Win9x系统中会利用"RegisterServiceProcess"函数进行病毒进程隐藏。

6、病毒运行时关闭包含以下相关窗体名对应的程序:

JiangminRegistryMonitorEx

KVXP_Monitor

木马防火墙

7、病毒通过枚举系统进程列表方式终止以下相关反病毒软件进程:

assistse.exe

kregex.exe

trojdie.kxp

kvsrvxp.exe

kvmonxp.kxp

frogagent.exe

kvxp.kxp

ccenter.exe

ravmond.exe

ravmon.exe

rfwmain.exe

rfwsrv.exe

kpfwsvc.exe

kavpfw.exe

kavstart.exe

kmailmon.exe

kwatch.exe

avp.exe

kav.exe

kavsvc.exe

rtvscan.exe

ccsetmgr.exe

defwatch.exe

ccevtmgr.exe

ccapp.exe

mcshield.exe

mcvsescn.exe

mcdetect.exe

mcmnhdlr.exe

trojanwall.exe

fygtcleaner.exe

mantispm.exe

vsmon.exe

isafe.exe

zlclient.exe

pcclient.exe

pcctlcom.exe

tmpfw.exe

tmntsrv.exe

tmproxy.exe

pccguide.exe

iparmor.exe

xfilter.exe

filmsg.exe

avengine.exe

pavsrv51.exe

psimsvc.exe

pavprsrv.exe

tpsrv.exe

pavprsrv.exe

apvxdwin.exe

srvload.exe

webproxy.exe

8、病毒通过枚举服务列表的方式删除以下反病毒软件服务:

KVSrvXP

KVWSC

KWatchSvc

KPfwSvc

AVP

kavsvc

RsCCenter

McTskshd.exe

McDetect.exe

CAISafe

vsmon

Tmntsrv

PcCtlCom

TmPfw

tmproxy

pmshellsrv

PAVSRV

PAVFNSVR

PSIMSVC

PNMSRV

PavPrSrv

TPSrv

9、病毒同时会关闭窗体类名为"AVP.CloseRequestDialog"的程序进程。

10、病毒通过查找窗体名为"传奇世界"和窗体类名为"GAMECLIENT"的方式定位传奇游戏进程。

11、找到传奇游戏进程后病毒通过读取传奇游戏进程信息的方式在后台记录用户游戏帐号、密码、角色性质、角色性别、所属区域、角色装备等信息。

12、成功获取相关信息后病毒将信息发送至以下网站:

发送地址:http://www.3721***.com/work.asp

传送方式:POST

传送数据:gameid=****&quyu=%s&password=****&js1=****&js1zy=****&js1dj=****&js2=****&js2zy=%s&js2dj=%d&map=%s&yuanBao=%d&zb=[08.12]bao(%d)time(%s)Ver(%s):****&pcname=计算机名&sys=操作系统&csServer=****

13、病毒同时会通过网络下载以下病毒程序:

http://www.3721***.com/nc.gif

http://www.3721***.com/m.gif

• ·Win32.Troj.QQPass.md
• ·Win32.Troj.Game.mu
• ·Win32.Troj.Downloader.l
• ·Win32.Troj.PSWXy2.ea
• ·Win32.Troj.PSWLmir.cz
• ·Win32.Troj.Lmir.fe
• ·Win32.Troj.PcGhost.a
• ·Win32.Troj.Lineage.ar.8
• ·Winew.PSWTroj.Zhengtu.c
• ·Win32.Troj.Mir.ch.52988