Win32.Troj.PSWLmir.cz
病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
21293
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下的专门针对于传奇网络游戏的以盗取用户游戏帐号密码为目的的特洛伊木马,病毒运行后将自身伪装成系统正常文件和伪QQ聊天软件的正常程序病毒利用非凡技术绕过反病毒软件的实时监视,并利用注入技术绕过网络防火墙的监视,病毒通过注入系统正常程序的方式在后台监视传奇游戏的帐号、密码、角色
装备信息并将信息发送给病毒作者,网络可用时病毒尝试通过网络连接特定网站下载其它病毒。病毒同时会记录
用户机器相关信息(如:机算机名、用户操作系统、操作系统版本等等)。
病毒主要通过欺骗或其它病毒下载的方式进行传播。
1、病毒将自身伪装成以下文件
%Windir%\System32\wdm.exe(伪系统正常程序)
%ProgramFiles%\Tencent\QQ\TIMPlatform.exe(伪QQ聊天软件相关程序)
2、病毒运行过程中释放以下驱动,然后通过该驱动使大部分反病毒软件的实时防火墙失效:
%Windir%\system32\drivers\ksld.sys
3、病毒通过添加以下注册表项使病毒开机后自动运行:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"KernelFaultCheck"=%Windir%\System32\wdm.exe
4、病毒运行时将病毒代码注入"services.exe"系统正常程序进程中.
5、注入成功后病毒通过查找窗体名包含以下相关字符串的方式定位相关网络游戏和IE:
oicq2000countwnd
QQGame_MainFrame
QQGame
IEFrame
MozillaUIWindowClass
找到以上任意一个窗体对应的程序后,病毒通过网络下载以下病毒:
http://135**.com/ws/c.gif
5.1假如没有找到以上窗体对应的程序则病毒直接运行以下程序:
%SysRoot%\programfiles\internetExplorer\IEXPLORE.exe
运行后将下载病毒代码注入该进程中从而下载以下病毒:
http://135**.com/ws/c.gif
6、病毒运行过程中会终止包含以下窗体名的相关进程:
jiangminRegistryMonitorEx
kvxp_Monitor
木马防火墙
7、病毒通过查找包含以下相关字符的方式定位传奇程序,然后将盗号主代码写入传奇游戏进程中:
传奇加载
传奇客户端
Legendofmir2
8、注入代码成功后病毒利用钩子技术记录用户的传奇游戏帐号、密码、角色装备信息,并将信息发送
给病毒作者。
9、病毒同时会收集用户的机器名、操作系统、操作系统版本信息等等,收集完毕后将信息发送至以下网站:
www.qo2**.com/gow/get.asp??id=***
