病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
78641
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为windows平台下专门针对传奇网络游戏的盗号木马程序,用户初次中毒时,病毒复制自身为伪系统文件,并添加自启动项,然后退出程序,用户重启系统后病毒开始在后台监视传奇游戏,通过传奇游戏将病毒程序下载到用户机器,然后运行病毒程序,记录用户传奇游戏的帐号、密码、装备等信息。
病毒主要通过网络欺骗或捆绑软件进行感染传播。
1、释放/生成以下文件:
%Windir%\49400.DLL
%Windir%\KB49400M.LOG
%Windir%\Intnet.exe(OS:Win9x)
%Windir%\mrgtask.exe
删除以下文件:
%WinDir%\mrgtask2
2、将文件释放完毕后,调用如下命令将当前目录下的病毒文件删除:
%Windir%\system32\cmd.exe/cdelD:\Virus\383018~1.EXE>nul(OS:WinNT/2K/XP/2003)
%Windir%\command.com/cdelD:\Virus\383018~1.EXE>nul(OS:Win9x)
3、添加以下注册表自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls]
KB49400M.LOG="c:\winnt\kb49400m.log"(OS:WinNT/2K/XP/2003)
[HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunServices]
Intnet="Intnet.exe"(OS:Win9x)
4、系统为Win9x时病毒尝试调用"RegisterServiceProcess"的api将病毒进程隐藏。
5、枚举系统中以下传奇程序的进程,枚举成功后,下载、注入病毒相关程序:
mir.exe
mir.dat
woool.exe
mir2.dat
mir1.dat
hh8.dat
mir3.dat
6、病毒运行过程中检测进程中是否存在以下相关进程或模块,存在则不进行下载病毒操作:
kvfw.exe
pm.dll
sniffer.exe
ppihapi.dll
netacrypto.dll
srmon.dll
tcl80.dll
sns.exe
cutesniffer.exe
bvtversion.dll
iris.exe
usft_ext.dll
smbfilesniffer.exe
ehsniffer.exe
sniffem.exe
sfmsrv.dll
NetPryer.exe
cports.exe
NetworkView.exe
Ethereal.ex
iconv.dll
adns_dll.dll
netcheck.exe
trmail.dll
jahpacket.dll
PortExplorer.exe
NetConnectManager.exe
cmmonzc.dll
wit.exe
mtna.exe
vsniffer.exe
eye.exe
gagent.dll
gcenter.exe
NetSnifferV3.exe
LGUISdkRes.dll
ent.exe
entutil.dll
vsniffer.exe
PacScope.exe
Capnt.dll
Cap2k.dll
CaptureNet.exe
PeepNet.exe
NetAnalyzer.exe
eqnetx.dll
ActiveNetworkMonitor.exe
SockMon5.exe
smcomm.dll
SeePort.exe
pfw.exe
skymisc.dll
cmd.exe
tpw.dll
tpfw.exe
rfwsrv.exe
rfwdrv.dll
cain.exe
cv.exe
tcpview.exe
iceword.exe
wpepro.exe
wpespy.dll
WSockHook.dll
WSockExpert.exe
XGuard.exe
sifrwlsnapin.dll
fwmain.exe
fwcom.exe
7、没有发现相关网络防火墙时,病毒连接以下网站下载文件:
http://imrw0r****.com/updata.dat保存为:%Windir%\mrgtask.ini
http://securecn.imrw0****.com/data.txt保存为:%Windir%\mrgtask2
