Trojan.PSW.Lmir.pj

2008-02-23 08:59:41来源：互联网阅读 ()

病毒名称: Trojan.PSW.Lmir.pj 类别：木马病毒病毒资料：破坏方法：

窃取游戏"传奇"信息的木马病毒

采用Delphi编写，UPX压缩。

病毒运行后有以下行为：

一、将自己复制到％SYSDIR％目录下，文件名"svch0st_.exe"。

二、修改注册表：
1.HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run
增加数据项："svch0st_.exe" 数据值为："svch0st_.exe"

2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon 修改数据项："Shell" 修改后的数据值

为："EXPlorer.exe svch0st_.exe"

（正确的数据值为"Explorer.exe"）

三、结束以下反病毒软件和监控软件的进程：
Symantec AntiVirus 企业版
江民杀毒软件 KV2004：实时监视
瑞星杀毒软件
天网防火墙个人版
天网防火墙企业版
木马克星
EGhost
MAILMON
卸载"密码防盗专家综合版"

四、释放文件"LSAS.bmp"和"STAK.bmp"，这两个文件实际上是两个动态库文件。"STAK.bmp"提供了拦截"OpenProcess"API的接口，导致其他进程无法打开"svch0st_.exe"的进程，因此也无法结束"svch0st_.exe"的进程。"LSAS.bmp"用于挂接鼠标和键盘钩子，以窃取游戏"传奇"信息。

如果用户在自己的机子上发现有该病毒，建议用户打开瑞星的实时监控进行查杀。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-6-29

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有