Win32.Troj.PswLmir.ci

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

传奇木马变种CI

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

71168

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为Windows平台下的专门针对于传奇网络游戏的盗号型木马,病毒运行后复制自身成伪系统正常文件,

然后利用钩子技术将病毒代码注入每一个进程中,发现传奇网络游戏时,病毒利用键盘钩子和鼠标钩子记录

用户帐号、密码、角色装备信息,然后将信息发送给病毒作者。同时该病毒运行过程中尝试通过网络下载并

运行其它病毒。病毒运行过程中实时监视并关闭相关反病毒软件。

病毒主要通过网络欺骗和捆绑软件方式进行传播。

1、病毒运行后将自身复制为以下伪系统正常文件:

%Windir%\_svchost_.exe

2、释放出主盗号程序:

%Windir%\_msvc_.dll

3、添加如下注册表项使病毒开机后自动运行:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe%Windir%\_svchost_.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"_System_Run"="%Windir%\_svchost_.exe"

4、在Win9x系统下病毒通过修改"Win.ini"文件的以下项目使病毒开机后自动运行:

[Windows]

Run=%Windir%\_svchost_.exe

5、病毒运行过程中会删除以下注册表项:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"sys_Runt1"=value

"sys_Runtt1"=value

6、枚举系统中的进程列表,并终止以下相关反病毒软件的进程:

kvp.kxp

KVMonXP.kxp

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

7、病毒查找到包含以下窗体名/类名的程序时,终止窗体对应的程序进程:

RavMonClass

天网防火墙个人版

天网防火墙企业版

噬菌体

TfLockDownMain

ZoneAlarm

ZAFrameWnd

8、在Win9x系统下病毒会尝试调用"RegisterServiceProcess"api进行进程隐藏,使用户不易发觉。

9、病毒运行过程中创建一个名为"M1Class"的互斥对象进行检查病毒是否已经运行。

10、网络状态可用时,病毒尝试连接以下地址下载其它病毒:

http://www.a**.com/hehe/123.exe

http://www.ly****.com/www/1.exe

11、主盗号dll运行后将病毒代码注入每个进程中,并通过键盘、鼠标钩子技术记录用户游戏帐号密码信息,然后将信息发送给病毒作者。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航