病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
50688
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个传奇的盗号木马,它除了盗取传奇的帐号与密码外,
还会下载其它的病毒。
建议用户不要运行来历不明的文件,并打开病毒防火墙。
1:拷贝与释放文件
病毒运行后,会把自己拷贝到下面的目录中
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\system.2dt
并释放一个DLL文件
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\NewInfo.dll(Win32.Troj.Lmir.pc.40720)
2:更改注册表
病毒会把释放的DLL文件注册为一个钩子,使DLL文件注入到每个进程的空间中运行
HKEY_CURRENT_USER\\CLSID\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\\InProcServer32
(Default)="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\NewInfo.dll"
HKEY_CURRENT_USER\\CLSID\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\InProcServer32
ThreadingModel="Apartment"
HKEY_LOCALMACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
(Default)
3:盗取帐号
NewInfo.dll一但发现自己注入的进程是传奇的进程,则挂接上钩子,并截取用户输入的帐号与密码,
并把得到的信息通过网站上传的方式上传到http://*****.net上面。
4:下载其它木马
病毒还会下载以下木马程序,使用户的计算机受到更多的木马感染
http://*****.net/usercfg/gg.exe
http://*****.net/usercfg/ms.exe
http://*****.net/usercfg/wl.exe
http://*****.net/usercfg/zz.exe
http://*****.net/usercfg/mh.exe
http://*****.net/usercfg/gm.exe
http://*****.net/usercfg/ii.exe
http://*****.net/usercfg/qq.exe
http://*****.net/usercfg/rx.exe
http://*****.net/usercfg/sj.exe