Win32.Troj.Lmir.pc

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

50688

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个传奇的盗号木马,它除了盗取传奇的帐号与密码外,

还会下载其它的病毒。

建议用户不要运行来历不明的文件,并打开病毒防火墙。

1:拷贝与释放文件

病毒运行后,会把自己拷贝到下面的目录中

C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\system.2dt

并释放一个DLL文件

C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\NewInfo.dll(Win32.Troj.Lmir.pc.40720)

2:更改注册表

病毒会把释放的DLL文件注册为一个钩子,使DLL文件注入到每个进程的空间中运行

HKEY_CURRENT_USER\\CLSID\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\\InProcServer32

(Default)="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\NewInfo.dll"

HKEY_CURRENT_USER\\CLSID\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\InProcServer32

ThreadingModel="Apartment"

HKEY_LOCALMACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}

(Default)

3:盗取帐号

NewInfo.dll一但发现自己注入的进程是传奇的进程,则挂接上钩子,并截取用户输入的帐号与密码,

并把得到的信息通过网站上传的方式上传到http://*****.net上面。

4:下载其它木马

病毒还会下载以下木马程序,使用户的计算机受到更多的木马感染

http://*****.net/usercfg/gg.exe

http://*****.net/usercfg/ms.exe

http://*****.net/usercfg/wl.exe

http://*****.net/usercfg/zz.exe

http://*****.net/usercfg/mh.exe

http://*****.net/usercfg/gm.exe

http://*****.net/usercfg/ii.exe

http://*****.net/usercfg/qq.exe

http://*****.net/usercfg/rx.exe

http://*****.net/usercfg/sj.exe

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航