Win32TrojMir2ad
病毒别名:
处理时间:2005-08-18
威胁级别:★★
中文名称:
病毒类型:木马
影响系统:Win 9x/ME
病毒行为:
这是一个在9x系统下偷盗传奇帐号和密码等信息的木马.
能释放病毒文件,修改注册表,安装消息钩子,关闭安全软件,关联文件,修改system.ini和win.ini文件,自动搜索传奇游戏的窗口,搜集帐号,密码,区域,角色等信息,然后用自带的SMTP引擎,把这些信息发送到指定邮箱.
1,释放下列文件:
%system%SPYING.EXE
%system%COMIR.EXE
%system%Finalmir.exe
%windows%LMIR.EXE
2,增加注册表项:
SoftWareMicrosoftWindowsCurrentVersionRunServices
LMir=Finalmir.exe
3,增加注册表项:
"HKCLxtfileshellopencommand"
"%windows%LMIR.EXE"=" "%1" %*"
关联exe文件,导致每次运行exe文件的时候,病毒会自动运行
4,修改system.ini文件,增加如下字段:
[[[boot]]] shell= Finalmir.exe
修改文件,增加如下字段:
[windows] run= Spying.exe
使系统启动时,病毒自动运行
5,注册自身为系统服务,达到隐藏自身的目的
6,关闭下列安全软件:
木马克星
天网防火墙企业版
天网防火墙个人版
RavMonClass
RavMon.exe
7,安装消息钩子,搜索传奇游戏的窗口,搜集敏感信息如:帐号,密码,游戏区域,角色等.
8,利用自带的SMTP引擎把搜集到的信息发送到下列邮箱:
mirmir2@cc07.comxzq1985115@163.com