Win32.Troj.MirHmhy

病毒别名：

处理时间：

威胁级别：★★

中文名称：毁灭火影5.0

病毒类型：木马

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

Borland Delphi

传染条件:

发作条件:

系统修改:

A、将自身复制到：

"%SystemRoot%SOS.exe"

B、在注册表主键HKEY_LOCAL_MATIONSOFTWAREMicrosoftWindowsCurrentVersionRunServices下添加键值：

"SOS" = "%SystemRoot%SOS.exe"

在注册表主键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下添加键值：

"SOS" = "%SystemRoot%SOS.exe"

在注册表主键HKEY_CLASS_ROOT下创建子键：

"legend of mir2"

在注册表主键HKEY_CLASS_ROOTlegend of mir2下创建键值

"Now Count" = "0"

"WinX" = "1"

C、根据配置，可能感染文件。感染方法如下：

(1)将病毒体直接手稿原始文件头，

(2)在新文件的后面附加16字节的感染标志：

0D 53 79 70 68 69 6C 69 73 20 4E 6F 2E 31 00 00 ----> .Syphilis No.1..

(3)再附加4字节的病毒体长度数据。

发作现象:

A、系统反应变慢，有不明硬盘读写。

B、终止如下程序的运行：

RavMon.exe

ZoneAlarm

EGHOST.EXE

MAILMON.EXE

netbargp.exe

天网防火墙个人版

天网防火墙企业版

木马克星

噬菌体

LockDown

C、2000/XP系统下，由于文件保护，windows会弹出文件被替换的提示，见附图<20040711_Win32.Troj.MirHmhy50.JPG>

特别说明:

这是一个感染文件的传奇2木马，记录帐号信息发送到指定邮箱。