当前位置:IT学院教程中心病毒防范 → 文章内容

Trojan-Psw.Win32.Lmir.ac 分析

减小字体 增大字体 作者:佚名  来源:不详  发布时间:2008-1-22 23:31:54
病毒标签:
 病毒名称: Trojan-Psw.Win32.lmir.ac
病毒类型: 木马
危害等级: 中
文件长度: 88,908 字节
感染系统: windows 9x 以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: PEtite 2.2
 
病毒描述:
   该病毒是一个盗取密码的木马程序。感染该病毒后删除原病毒体,释放四个病毒文件。修改注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ 下的值。遍历系统进程,查找某些反病毒及安全软件的进程并试图将其终止,加入系统进程,进程名为 mcc.exe 。
行为分析:
 1 、复制自身到系统目录下:

svch0st.exe ,同时释放 objectsl.wix 、 prgusel0.wix 、
prgusel1.wix 病毒相关文件。

2 、修改注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecuteHooks\
值: "hookmir"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Prgusel1.classname\@
值: "hookmir"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
\ProgID\@
值: "Prgusel1.classname"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

\InprocServer32\ThreadingModel
值: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
\InprocServer32\@
值 : 字串 : "C:\WINNT\System32\Prgusel1.wix"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
\@
值: "hookmir"

3 、终止某些反病毒软件及安全软件的进程:

PasswordGuard.exe KVXP.KXP
KVMonXP.KXP Symantec AntiVirus
KV2004 RavMon.exe
ZoneAlarm EGHOST.EXE
MAILMON.EXE KAVPFW.EXE
 
[] [返回上一页] [打 印]

文章评论评论内容只代表网友观点,与本站立场无关!