trojan psw.win32.lmir.bbw是什么毒,高手帮帮忙啊
发布网友
发布时间:2022-03-05 17:29
共1个回答
热心网友
时间:2022-03-05 18:58
中文名称:传奇木马变种
该病毒为Windows平台下的专门针对于传奇网络游戏的盗号型木马,病毒运行后复制自身成伪系统正常文件,
然后利用钩子技术将病毒代码注入每一个进程中,发现传奇网络游戏时,病毒利用键盘钩子和鼠标钩子记录
用户帐号、密码、角色装备信息,然后将信息发送给病毒作者。同时该病毒运行过程中尝试通过网络下载并
运行其它病毒。病毒运行过程中实时监视并关闭相关反病毒软件。
病毒主要通过网络欺骗和*软件方式进行传播。
1、病毒运行后将自身复制为以下伪系统正常文件:
%Windir%\_svchost_.exe
2、释放出主盗号程序:
%Windir%\_msvc_.dll
3、添加如下注册表项使病毒开机后自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %Windir%\_svchost_.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"_System_Run" = "%Windir%\_svchost_.exe"
4、在Win9x系统下病毒通过修改"Win.ini"文件的以下项目使病毒开机后自动运行:
[Windows]
Run = %Windir%\_svchost_.exe
5、病毒运行过程中会删除以下注册表项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"sys_Runt1" = value
"sys_Runtt1" = value
6、枚举系统中的进程列表,并终止以下相关反病毒软件的进程:
kvp.kxp
KVMonXP.kxp
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
7、病毒查找到包含以下窗体名/类名的程序时,终止窗体对应的程序进程:
RavMonClass
天网防火墙个人版
天网防火墙企业版
噬菌体
TfLockDownMain
ZoneAlarm
ZAFrameWnd
8、在Win9x系统下病毒会尝试调用"RegisterServiceProcess" api进行进程隐藏,使用户不易发觉。
9、病毒运行过程中创建一个名为"M1Class"的互斥对象进行检查病毒是否已经运行。
10、网络状态可用时,病毒尝试连接以下地址下载其它病毒:
http://www.a**.com/hehe/123.exe
http://www.ly****.com/www/1.exe
11、主盗号dll运行后将病毒代码注入每个进程中,并通过键盘、鼠标钩子技术记录用户游戏帐号密码信息,然后将信息发送给病毒作者。
