Win32.Troj.Lmir.em

病毒别名： 处理时间：2006-08-04 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是打开http://www.*haoz.***网站下载下来的其中一个盗号木马。

打开http://www.*haoz.***网站时，它会执行http://32.**.51.la/s.asp?id=487556

网页请求的一个广告http://afied.***/afied/ad0468.htm，

该广告的会打开http://afied.***/d/ads.htm网页，这个网页是一个下载执行脚本，

它会下载并运行http://afied.***/d/ms32.exe，这是一个下载木马，

它会下载并执行四个病毒，该病毒是其中之一。该病毒会盗取传奇、魔兽等游戏帐号及QQ密码。

建议上网的用户打开病毒实时监视和防火墙，避免上网站时感染病毒。

1、生成的文件

%SystemRoot%1.com

%SystemRoot%ExERoute.exe

%SystemRoot%WINLOGON.EXE

%SystemRoot%finder.com

%SystemRoot%explorer.com

%SystemRoot%system32finder.com

%SystemRoot%system32explorer.com

%SystemRoot%system32command.pif

%SystemRoot%system323721.exe

%SystemRoot%system32dxdiag.com

%SystemRoot%system32

egedit.com

%SystemRoot%system32MSCONFIG.COM

%SystemRoot%system32

undll32.com

%D:%pagefile.pif

%D:%autorun.inf

2、该病毒修改了系统exe文件关联、http协议缺省启动程序、ftp协议缺省启动程序、

htmlfile协议缺省启动程序的默认设置和添加了注册表启动项

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

"Torjan Program" = "%SystemRoot%WINLOGON.EXE"

3、下载木马ms32.exe的下载列表如下：

http://23yad.com/bads.exe

http://23yad.com/abes.exe

http://23yad.com/adxs.exe

http://23yad.com/sced.exe

其中该病毒的下载路径是http://23yad.com/bads.exe，

http://23yad.com/abes.exe为另一个下载病毒的木马。