| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.PSWLmir.nw

來源:互聯網  2008-08-14 22:50:27  評論

病毒名稱(中文):

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬程序

病毒長度:

78641

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

該病毒爲windows平台下專門針對傳奇網絡遊戲的盜號木馬程序,用戶初次中毒時,病毒複制自身爲僞系統文件,並添加自啓動項,然後退出程序,用戶重啓系統後病毒開始在後台監視傳奇遊戲,通過傳奇遊戲將病毒程序下載到用戶機器,然後運行病毒程序,記錄用戶傳奇遊戲的帳號、密碼、裝備等信息。

病毒主要通過網絡欺騙或捆綁軟件進行感染傳播。

1、釋放/生成以下文件:

%Windir%\49400.DLL

%Windir%\KB49400M.LOG

%Windir%\Intnet.exe(OS:Win9x)

%Windir%\mrgtask.exe

刪除以下文件:

%WinDir%\mrgtask2

2、將文件釋放完畢後,調用如下命令將當前目錄下的病毒文件刪除:

%Windir%\system32\cmd.exe/cdelD:\Virus\383018~1.EXE>nul(OS:WinNT/2K/XP/2003)

%Windir%\command.com/cdelD:\Virus\383018~1.EXE>nul(OS:Win9x)

3、添加以下注冊表自啓動項:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls]

KB49400M.LOG="c:\winnt\kb49400m.log"(OS:WinNT/2K/XP/2003)

[HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunServices]

Intnet="Intnet.exe"(OS:Win9x)

4、系統爲Win9x時病毒嘗試調用"RegisterServiceProcess"的api將病毒進程隱藏。

5、枚舉系統中以下傳奇程序的進程,枚舉成功後,下載、注入病毒相關程序:

mir.exe

mir.dat

woool.exe

mir2.dat

mir1.dat

hh8.dat

mir3.dat

6、病毒運行過程中檢測進程中是否存在以下相關進程或模塊,存在則不進行下載病毒操作:

kvfw.exe

pm.dll

sniffer.exe

ppihapi.dll

netacrypto.dll

srmon.dll

tcl80.dll

sns.exe

cutesniffer.exe

bvtversion.dll

iris.exe

usft_ext.dll

smbfilesniffer.exe

ehsniffer.exe

sniffem.exe

sfmsrv.dll

NetPryer.exe

cports.exe

NetworkView.exe

Ethereal.ex

iconv.dll

adns_dll.dll

netcheck.exe

trmail.dll

jahpacket.dll

PortExplorer.exe

NetConnectManager.exe

cmmonzc.dll

wit.exe

mtna.exe

vsniffer.exe

eye.exe

gagent.dll

gcenter.exe

NetSnifferV3.exe

LGUISdkRes.dll

ent.exe

entutil.dll

vsniffer.exe

PacScope.exe

Capnt.dll

Cap2k.dll

CaptureNet.exe

PeepNet.exe

NetAnalyzer.exe

eqnetx.dll

ActiveNetworkMonitor.exe

SockMon5.exe

smcomm.dll

SeePort.exe

pfw.exe

skymisc.dll

cmd.exe

tpw.dll

tpfw.exe

rfwsrv.exe

rfwdrv.dll

cain.exe

cv.exe

tcpview.exe

iceword.exe

wpepro.exe

wpespy.dll

WSockHook.dll

WSockExpert.exe

XGuard.exe

sifrwlsnapin.dll

fwmain.exe

fwcom.exe

7、沒有發現相關網絡防火牆時,病毒連接以下網站下載文件:

http://imrw0r****.com/updata.dat保存爲:%Windir%\mrgtask.ini

http://securecn.imrw0****.com/data.txt保存爲:%Windir%\mrgtask2

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 78641 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒爲windows平台下專門針對傳奇網絡遊戲的盜號木馬程序,用戶初次中毒時,病毒複制自身爲僞系統文件,並添加自啓動項,然後退出程序,用戶重啓系統後病毒開始在後台監視傳奇遊戲,通過傳奇遊戲將病毒程序下載到用戶機器,然後運行病毒程序,記錄用戶傳奇遊戲的帳號、密碼、裝備等信息。 病毒主要通過網絡欺騙或捆綁軟件進行感染傳播。 1、釋放/生成以下文件: %Windir%\49400.DLL %Windir%\KB49400M.LOG %Windir%\Intnet.exe(OS:Win9x) %Windir%\mrgtask.exe 刪除以下文件: %WinDir%\mrgtask2 2、將文件釋放完畢後,調用如下命令將當前目錄下的病毒文件刪除: %Windir%\system32\cmd.exe/cdelD:\Virus\383018~1.EXE>nul(OS:WinNT/2K/XP/2003) %Windir%\command.com/cdelD:\Virus\383018~1.EXE>nul(OS:Win9x) 3、添加以下注冊表自啓動項: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls] KB49400M.LOG="c:\winnt\kb49400m.log"(OS:WinNT/2K/XP/2003) [HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunServices] Intnet="Intnet.exe"(OS:Win9x) 4、系統爲Win9x時病毒嘗試調用"RegisterServiceProcess"的api將病毒進程隱藏。 5、枚舉系統中以下傳奇程序的進程,枚舉成功後,下載、注入病毒相關程序: mir.exe mir.dat woool.exe mir2.dat mir1.dat hh8.dat mir3.dat 6、病毒運行過程中檢測進程中是否存在以下相關進程或模塊,存在則不進行下載病毒操作: kvfw.exe pm.dll sniffer.exe ppihapi.dll netacrypto.dll srmon.dll tcl80.dll sns.exe cutesniffer.exe bvtversion.dll iris.exe usft_ext.dll smbfilesniffer.exe ehsniffer.exe sniffem.exe sfmsrv.dll NetPryer.exe cports.exe NetworkView.exe Ethereal.ex iconv.dll adns_dll.dll netcheck.exe trmail.dll jahpacket.dll PortExplorer.exe NetConnectManager.exe cmmonzc.dll wit.exe mtna.exe vsniffer.exe eye.exe gagent.dll gcenter.exe NetSnifferV3.exe LGUISdkRes.dll ent.exe entutil.dll vsniffer.exe PacScope.exe Capnt.dll Cap2k.dll CaptureNet.exe PeepNet.exe NetAnalyzer.exe eqnetx.dll ActiveNetworkMonitor.exe SockMon5.exe smcomm.dll SeePort.exe pfw.exe skymisc.dll cmd.exe tpw.dll tpfw.exe rfwsrv.exe rfwdrv.dll cain.exe cv.exe tcpview.exe iceword.exe wpepro.exe wpespy.dll WSockHook.dll WSockExpert.exe XGuard.exe sifrwlsnapin.dll fwmain.exe fwcom.exe 7、沒有發現相關網絡防火牆時,病毒連接以下網站下載文件: http://imrw0r****.com/updata.dat保存爲:%Windir%\mrgtask.ini http://securecn.imrw0****.com/data.txt保存爲:%Windir%\mrgtask2
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有