Win32.Troj.PSWLmir.dk

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

33322

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个传奇世界盗号木马而且会盗窃梦幻西游ONLINE的帐号,该木马会监控传奇世界和梦幻西游ONLINE登陆窗口,记录用户输入的信息,并且把截获的信息发送到固定网址,并且会修改计算机上大量的文件关联,对用户正常使用计算机带来很大的不便,对用户带来极大损失.

1.生成文件:

C:\ProgramFiles\CommonFiles\iexplore.pif

C:\ProgramFiles\InternetExplorer\iexplore.com

%systemroot%\1.com

%systemroot%\ExERoute.exe

%systemroot%\explorer.com

%systemroot%\finder.com

%systemroot%\services.exe

%systemroot%\Debug\DebugProgram.exe

%system%\command.pif

%system%\dxdiag.com

%system%\finder.com

%system%\MSCONFIG.COM

%system%\regedit.com

%system%\rundll32.com

2.在系统中的每个分区底下生成以下文件,使打开改磁盘的时候就运行病毒:

autorun.inf

pagefile.pif

3.添加起始项,使病毒开机启动:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

TorjanProgram

"services.exe"

4.修改以下文件关联项:

HKLM\SOFTWARE\Classes\cplfile\shell\cplopen\command

HKLM\SOFTWARE\Classes\dunfile\shell\open\command

HKLM\SOFTWARE\Classes\file\shell\open\command

HKLM\SOFTWARE\Classes\htmlfile\shell\print\command

HKLM\SOFTWARE\Classes\inffile\shell\Install\command

HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command

HKLM\SOFTWARE\Classes\scrfile\shell\install\command

HKLM\SOFTWARE\Classes\scriptletfile\Shell\GenerateTypelib\command

HKLM\SOFTWARE\Classes\telnet\shell\open\command

HKLM\SOFTWARE\Classes\Unknown\shell\openas\command

将以上的文件关联到病毒文件.

5.搜索含有以下字符的进程并且结束掉:

RAV*

KAV*

KWATCH*

KPOP*

CCENTER*

ASSISTSE*

KPFWSVC*

AGENTSVR*

KV*

KREG*

IEFIND*

IPARMOR*

UPHC*

RULEWIZE*

RFWMA*

FYGT*

PFW*

SVI.EXE

6.把盗取的用户敏感信息发送到以下地址:

http://account.etsoft.com.cn/***/information.asp?UID=***