Win32.Troj.Lmir.em

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

46402

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是打开http://www.*haoz.***网站下载下来的其中一个盗号木马。

打开http://www.*haoz.***网站时，它会执行http://32.**.51.la/s.asp?id=487556

网页请求的一个广告http://afied.***/afied/ad0468.htm，

该广告的会打开http://afied.***/d/ads.htm网页，这个网页是一个下载执行脚本，

它会下载并运行http://afied.***/d/ms32.exe，这是一个下载木马，

它会下载并执行四个病毒，该病毒是其中之一。该病毒会盗取传奇、魔兽等游戏帐号及QQ密码。

建议上网的用户打开病毒实时监视和防火墙，避免上网站时感染病毒。

1、生成的文件

%SystemRoot%\1.com

%SystemRoot%\ExERoute.exe

%SystemRoot%\WINLOGON.EXE

%SystemRoot%\finder.com

%SystemRoot%\explorer.com

%SystemRoot%\system32\finder.com

%SystemRoot%\system32\explorer.com

%SystemRoot%\system32\command.pif

%SystemRoot%\system32\3721.exe

%SystemRoot%\system32\dxdiag.com

%SystemRoot%\system32\regedit.com

%SystemRoot%\system32\MSCONFIG.COM

%SystemRoot%\system32\rundll32.com

%D:%\pagefile.pif

%D:%\autorun.inf

2、该病毒修改了系统exe文件关联、http协议缺省启动程序、ftp协议缺省启动程序、

htmlfile协议缺省启动程序的默认设置和添加了注册表启动项

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"TorjanProgram"="%SystemRoot%\WINLOGON.EXE"

3、下载木马ms32.exe的下载列表如下：

http://23yad.com/bads.exe

http://23yad.com/abes.exe

http://23yad.com/adxs.exe

http://23yad.com/sced.exe

其中该病毒的下载路径是http://23yad.com/bads.exe，

http://23yad.com/abes.exe为另一个下载病毒的木马。

• ·Win32.Troj.PswGame.ht
• ·Win32.Troj.Lmir.ah
• ·Win32.Troj.WowPsw.av
• ·Win32.Hack.Wootbot.cn
• ·Worm.Sower
• ·Win32.Troj.Downloader.d
• ·Worm.Small.vb
• ·Win32.Troj.Downloader.d
• ·Win32.Troj.PswQQ.xd
• ·Win32.Troj.PswLmir.ec