| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.PswLmir.ci

來源:互聯網網民  2008-08-14 22:46:26  評論

病毒名稱(中文):

傳奇木馬變種CI

病毒別名:

威脅級別:

★★☆☆☆

病毒類型:

木馬程序

病毒長度:

71168

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

該病毒爲Windows平台下的專門針對于傳奇網絡遊戲的盜號型木馬,病毒運行後複制自身成僞系統正常文件,

然後利用鈎子技術將病毒代碼注入每一個進程中,發現傳奇網絡遊戲時,病毒利用鍵盤鈎子和鼠標鈎子記錄

用戶帳號、密碼、角色裝備信息,然後將信息發送給病毒作者。同時該病毒運行過程中嘗試通過網絡下載並

運行其它病毒。病毒運行過程中實時監視並關閉相關反病毒軟件。

病毒主要通過網絡欺騙和捆綁軟件方式進行傳播。

1、病毒運行後將自身複制爲以下僞系統正常文件:

%Windir%\_svchost_.exe

2、釋放出主盜號程序:

%Windir%\_msvc_.dll

3、添加如下注冊表項使病毒開機後自動運行:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe%Windir%\_svchost_.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"_System_Run"="%Windir%\_svchost_.exe"

4、在Win9x系統下病毒通過修改"Win.ini"文件的以下項目使病毒開機後自動運行:

[Windows]

Run=%Windir%\_svchost_.exe

5、病毒運行過程中會刪除以下注冊表項:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"sys_Runt1"=value

"sys_Runtt1"=value

6、枚舉系統中的進程列表,並終止以下相關反病毒軟件的進程:

kvp.kxp

KVMonXP.kxp

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

7、病毒查找到包含以下窗體名/類名的程序時,終止窗體對應的程序進程:

RavMonClass

天網防火牆個人版

天網防火牆企業版

噬菌體

TfLockDownMain

ZoneAlarm

ZAFrameWnd

8、在Win9x系統下病毒會嘗試調用"RegisterServiceProcess"api進行進程隱藏,使用戶不易發覺。

9、病毒運行過程中創建一個名爲"M1Class"的互斥對象進行檢查病毒是否已經運行。

10、網絡狀態可用時,病毒嘗試連接以下地址下載其它病毒:

http://www.a**.com/hehe/123.exe

http://www.ly****.com/www/1.exe

11、主盜號dll運行後將病毒代碼注入每個進程中,並通過鍵盤、鼠標鈎子技術記錄用戶遊戲帳號密碼信息,然後將信息發送給病毒作者。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
病毒名稱(中文): 傳奇木馬變種CI 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬程序 病毒長度: 71168 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒爲Windows平台下的專門針對于傳奇網絡遊戲的盜號型木馬,病毒運行後複制自身成僞系統正常文件, 然後利用鈎子技術將病毒代碼注入每一個進程中,發現傳奇網絡遊戲時,病毒利用鍵盤鈎子和鼠標鈎子記錄 用戶帳號、密碼、角色裝備信息,然後將信息發送給病毒作者。同時該病毒運行過程中嘗試通過網絡下載並 運行其它病毒。病毒運行過程中實時監視並關閉相關反病毒軟件。 病毒主要通過網絡欺騙和捆綁軟件方式進行傳播。 1、病毒運行後將自身複制爲以下僞系統正常文件: %Windir%\_svchost_.exe 2、釋放出主盜號程序: %Windir%\_msvc_.dll 3、添加如下注冊表項使病毒開機後自動運行: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon] "Shell"="Explorer.exe%Windir%\_svchost_.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "_System_Run"="%Windir%\_svchost_.exe" 4、在Win9x系統下病毒通過修改"Win.ini"文件的以下項目使病毒開機後自動運行: [Windows] Run=%Windir%\_svchost_.exe 5、病毒運行過程中會刪除以下注冊表項: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "sys_Runt1"=value "sys_Runtt1"=value 6、枚舉系統中的進程列表,並終止以下相關反病毒軟件的進程: kvp.kxp KVMonXP.kxp EGHOST.EXE MAILMON.EXE KAVPFW.EXE IPARMOR.EXE 7、病毒查找到包含以下窗體名/類名的程序時,終止窗體對應的程序進程: RavMonClass 天網防火牆個人版 天網防火牆企業版 噬菌體 TfLockDownMain ZoneAlarm ZAFrameWnd 8、在Win9x系統下病毒會嘗試調用"RegisterServiceProcess"api進行進程隱藏,使用戶不易發覺。 9、病毒運行過程中創建一個名爲"M1Class"的互斥對象進行檢查病毒是否已經運行。 10、網絡狀態可用時,病毒嘗試連接以下地址下載其它病毒: http://www.a**.com/hehe/123.exe http://www.ly****.com/www/1.exe 11、主盜號dll運行後將病毒代碼注入每個進程中,並通過鍵盤、鼠標鈎子技術記錄用戶遊戲帳號密碼信息,然後將信息發送給病毒作者。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有