Win32.Troj.Lmir.ah

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

46562

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是一个盗号木马。它会盗取传奇、魔兽等游戏帐号和QQ密码，

并将盗取的帐号密码提交到指定的网页。该病毒在系统中做了很强的自我保护。

建议电脑用户要升级杀毒软件和打开防火墙，以防中毒受害。

1、生成的文件

%SystemRoot%\system32\rundll32.com

%SystemRoot%\system32\finder.com

%SystemRoot%\finder.com

%SystemRoot%\system32\command.pif

%SystemRoot%\WINLOGON.EXE

%\ProgramFiles%\intern~1\iexplore.com

%\ProgramFiles%\common~1\iexplore.pif

%SystemRoot%\explorer.com

%SystemRoot%\1.com

%SystemRoot%\ExERoute.exe

%D:%\pagefile.pif

%D:%\autorun.inf

%SystemRoot%\system32\MSCONFIG.COM

%SystemRoot%\system32\dxdiag.com

%SystemRoot%\system32\regedit.com

%SystemRoot%\Debug\DebugProgram.exe

2、修改系统exe文件关联

HKLM\SOFTWARE\Classes\winfiles\Shell\Open\Command

"Default"="%SystemRoot%\ExERoute.exe"%1"%*"

3、修改System.ini中的shell项

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

"Shell"="Explorer.exe1"

4、修改http协议缺省启动程序

HKLM\SOFTWARE\Classes\http\shell\open\command

"Default"=""%\ProgramFiles%\common~1\iexplore.pif"-nohome"

5、修改ftp协议缺省启动程序

HKLM\SOFTWARE\Classes\ftp\shell\open\command

"Default"=""%ProgramFiles%\InternetExplorer\iexplore.com"%1"

6、修改htmlfile协议缺省启动程序

HKLM\SOFTWARE\Classes\htmlfile\shell\open\command

"Default"=""%ProgramFiles%\InternetExplorer\iexplore.com"-nohome"

7、添加自启动项

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"TorjanProgram"="%SystemRoot%\WINLOGON.EXE"

8、该病毒在系统装了一个类型为WH_MSGFILTER消息钩子监视传奇、QQ等登陆程序，

其申请进程路径是%SystemRoot%\WINLOGON.EXE

9、ExERoute.exe进程会监视并维护WINLOGON.EXE进程

10、该病毒在其他非系统盘建了一个autorun.inf，每次双击这些盘都会再次感染该病毒。

11、接收帐号密码的处理网页

http://upd.etsoft.com.cn/UPD/info_new.asp?UID=""&UID88=""

http://upd.etsoft.com.cn/upd/xyqupdate.asp?FV=""&crc=""

http://upd.etsoft.com.cn/upd/wow.htm?crc=

http://upd.etsoft.com.cn/upd/uzt

• ·Win32.Troj.pswGame.m
• ·Win32.Troj.PswQ.fl
• ·Win32.Troj.PswWOW.ch
• ·Win32.Troj.QQPass.l
• ·Win32.Troj.PswGame.ht
• ·Win32.Troj.WowPsw.av
• ·Win32.Hack.Wootbot.cn
• ·Worm.Sower
• ·Win32.Troj.Lmir.em
• ·Win32.Troj.Downloader.d