|
| trojan-psw.win32.lmir.ac 分析 |
| 来源:网络 时间:2006-5-31 |
|
病毒标签:
病毒名称: trojan-psw.win32.lmir.ac
病毒类型: 木马
危害等级: 中
文件长度: 88,908 字节
感染系统: windows 9x 以上版本
开发工具: borland delphi 6.0 - 7.0
加壳类型: petite 2.2
病毒描述:
该病毒是一个盗取密码的木马程序。感染该病毒后删除原病毒体,释放四个病毒文件。修改注册表中 hkey_local_machine\software\classes\clsid\ 下的值。遍历系统进程,查找某些反病毒及安全软件的进程并试图将其终止,加入系统进程,进程名为 mcc.exe 。
行为分析:
1 、复制自身到系统目录下:
svch0st.exe ,同时释放 objectsl.wix 、 prgusel0.wix 、
prgusel1.wix 病毒相关文件。
2 、修改注册表:
hkey_local_machine\software\microsoft\windows\currentversion
\explorer\shellexecutehooks\
值: "hookmir"
hkey_local_machine\software\classes\prgusel1.classname\@
值: "hookmir"
hkey_local_machine\software\classes\clsid\
\progid\@
值: "prgusel1.classname"
hkey_local_machine\software\classes\clsid\
\inprocserver32\threadingmodel
值: "apartment"
hkey_local_machine\software\classes\clsid\
\inprocserver32\@
值 : 字串 : "c:\winnt\system32\prgusel1.wix"
hkey_local_machine\software\classes\clsid\
\@
值: "hookmir"
3 、终止某些反病毒软件及安全软件的进程:
passwordguard.exe kvxp.kxp
kvmonxp.kxp symantec antivirus
kv2004 ravmon.exe
zonealarm eghost.exe
mailmon.exe kavpfw.exe
|
|
|
|
|
