| 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Lmir.pc

来源:互联网  宽屏版  评论
2008-08-14 22:52:55

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

50688

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个传奇的盗号木马,它除了盗取传奇的帐号与密码外,

还会下载其它的病毒。

建议用户不要运行来历不明的文件,并打开病毒防火墙。

1:拷贝与释放文件

病毒运行后,会把自己拷贝到下面的目录中

C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\system.2dt

并释放一个DLL文件

C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\NewInfo.dll(Win32.Troj.Lmir.pc.40720)

2:更改注册表

病毒会把释放的DLL文件注册为一个钩子,使DLL文件注入到每个进程的空间中运行

HKEY_CURRENT_USER\\CLSID\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\\InProcServer32

(Default)="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\NewInfo.dll"

HKEY_CURRENT_USER\\CLSID\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\InProcServer32

ThreadingModel="Apartment"

HKEY_LOCALMACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}

(Default)

3:盗取帐号

NewInfo.dll一但发现自己注入的进程是传奇的进程,则挂接上钩子,并截取用户输入的帐号与密码,

并把得到的信息通过网站上传的方式上传到http://*****.net上面。

4:下载其它木马

病毒还会下载以下木马程序,使用户的计算机受到更多的木马感染

http://*****.net/usercfg/gg.exe

http://*****.net/usercfg/ms.exe

http://*****.net/usercfg/wl.exe

http://*****.net/usercfg/zz.exe

http://*****.net/usercfg/mh.exe

http://*****.net/usercfg/gm.exe

http://*****.net/usercfg/ii.exe

http://*****.net/usercfg/qq.exe

http://*****.net/usercfg/rx.exe

http://*****.net/usercfg/sj.exe

病毒名称(中文): 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 木马程序 病毒长度: 50688 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个传奇的盗号木马,它除了盗取传奇的帐号与密码外, 还会下载其它的病毒。 建议用户不要运行来历不明的文件,并打开病毒防火墙。 1:拷贝与释放文件 病毒运行后,会把自己拷贝到下面的目录中 C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\system.2dt 并释放一个DLL文件 C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\NewInfo.dll(Win32.Troj.Lmir.pc.40720) 2:更改注册表 病毒会把释放的DLL文件注册为一个钩子,使DLL文件注入到每个进程的空间中运行 HKEY_CURRENT_USER\\CLSID\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\\InProcServer32 (Default)="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\NewInfo.dll" HKEY_CURRENT_USER\\CLSID\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\InProcServer32 ThreadingModel="Apartment" HKEY_LOCALMACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F} (Default) 3:盗取帐号 NewInfo.dll一但发现自己注入的进程是传奇的进程,则挂接上钩子,并截取用户输入的帐号与密码, 并把得到的信息通过网站上传的方式上传到http://*****.net上面。 4:下载其它木马 病毒还会下载以下木马程序,使用户的计算机受到更多的木马感染 http://*****.net/usercfg/gg.exe http://*****.net/usercfg/ms.exe http://*****.net/usercfg/wl.exe http://*****.net/usercfg/zz.exe http://*****.net/usercfg/mh.exe http://*****.net/usercfg/gm.exe http://*****.net/usercfg/ii.exe http://*****.net/usercfg/qq.exe http://*****.net/usercfg/rx.exe http://*****.net/usercfg/sj.exe
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号wangchaonetcn
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有