Trojan.Lmir.Whboy.ae
2008-02-23 08:35:40来源:互联网 阅读 ()
病毒名称:
Trojan.Lmir.Whboy.ae
类别: 木马病毒
病毒资料:
破坏方法:
武汉男生木马。
搜集他人帐号密码等私人信息,并发送到指定邮箱。
病毒采用Delphi编写,UPX压缩,使用madCodeHook控件进行远程注入,在windows 平台都能注入运行。病毒运行后有以下破坏行为:
一、将自己复制为以下几个文件:
1.%SYSDIR%\msapi.exe
2.%SYSDIR%\snet.exe
释放文件名为"msapi.dll"的动态库到%SYSDIR%目录下。
病毒使用窗口“WhBoy_Dll”作为运行标记,防止自身重复运行。
二、搜索"EXPlorer.exe"进程,通过修改"Explorer.exe"进程地址空间创建远程
线程的方式,在"Explorer.exe"进程中创建一个用于装载"msapi.dll"动态库的
线程。
三、修改系统文件"SYSTEM.INI"的以下数据以达到自启动的目的:
1.[BOOT]
修改数据项:"SHELL"
设置数据:"%SYSDIR%\msapi.exe"
四、查找并结束以下反病毒软件、防火墙软件的进程:
1.Symantec AntiVirus 企业版
2.江民杀毒软件 KV2004:实时监视
3.RavMon.exe
4.ZoneAlarm
5.天网防火墙个人版
6.天网防火墙企业版
7.密码防盗
8.绿鹰PC
9.QQ病毒专杀工具
10.噬菌体
11.木马克星
12.Iparmor.exe
13.MAILMON.EXE
14.KAVPFW.EXE
并卸载"密码防盗专家 综合版"。
五、获取用户游戏下列信息发送到指定的邮箱内。
用户信息:
区 域:
服务器:
用 户:
密 码:
密 宝:
角 色:
机器名:
IP地址:
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2005-1-21
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
