Win32.Troj.Lmir.pc
病毒别名: 处理时间:2007-04-04 威胁级别:★
中文名称: 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个传奇的盗号木马,它除了盗取传奇的帐号与密码外,
还会下载其它的病毒。
建议用户不要运行来历不明的文件,并打开病毒防火墙。
1:拷贝与释放文件
病毒运行后,会把自己拷贝到下面的目录中
C:Program FilesCommon FilesMicrosoft SharedMSINFOsystem.2dt
并释放一个DLL文件
C:Program FilesCommon FilesMicrosoft SharedMSINFONewInfo.dll (Win32.Troj.Lmir.pc.40720)
2:更改注册表
病毒会把释放的DLL文件注册为一个钩子,使DLL文件注入到每个进程的空间中运行
HKEY_CURRENT_USER\CLSID\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\InProcServer32
(Default) = "C:Program FilesCommon FilesMicrosoft SharedMSINFONewInfo.dll"
HKEY_CURRENT_USER\CLSID\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}InProcServer32
ThreadingModel = "Apartment"
HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
(Default)
3:盗取帐号
NewInfo.dll一但发现自己注入的进程是传奇的进程,则挂接上钩子,并截取用户输入的帐号与密码,
并把得到的信息通过网站上传的方式上传到http://*****.net上面。
4:下载其它木马
病毒还会下载以下木马程序,使用户的计算机受到更多的木马感染
http://*****.net/usercfg/gg.exe
http://*****.net/usercfg/ms.exe
http://*****.net/usercfg/wl.exe
http://*****.net/usercfg/zz.exe
http://*****.net/usercfg/mh.exe
http://*****.net/usercfg/gm.exe
http://*****.net/usercfg/ii.exe
http://*****.net/usercfg/qq.exe
http://*****.net/usercfg/rx.exe
http://*****.net/usercfg/sj.exe