Win32.Troj.Mir2.qc
Win32.Troj.Mir2.qc
病毒别名:
处理时间:
威胁级别:★★
中文名称:传奇木马
病毒类型:木马
影响系统:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行为:
编写工具:Borland Delphi 6.0 - 7.0 用UPX进行压缩。
传染条件:网络下载
发作条件:用户进行传奇网络游戏时
系统修改:
A、木马运行后会将自身复制到系统目录下:
%System%svch0st_.exe
B、1、在注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加如下键值:
"svch0st_.exe" = "svch0st_.exe"
2、在注册表主键:
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
修改为如下键值:
"Shell" = "Explorer.exe svch0st_.exe"
发作现象:
A、当用户打开游戏后,木马合记录传奇游戏的相关信息,并将信息以下面的格式发送到脚本网页中:
http://IP地址?Tomail=&gameid=&password=&quyu=&mirserver=&js1=&js1sex=&js1zy=&js1dj=&js2=&js2sex=&js2zy=&js2dj=&js2dj=
再由网页转发邮件
B、木马如果发现如下窗口存在则关闭这些程序
Symantec AntiVirus 企业版
江民杀毒软件 KV2004:实时监视
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
天网防火墙个人版
特别说明: