Win32.Troj.Mir2HAK
Win32.Troj.Mir2HAK
病毒别名:Trojan-PSW.Win32.Lmir.xh [AVP],Trojan/PSW.Lmir.aaq [KV]
处理时间:
威胁级别:★★
中文名称:传奇黑面
病毒类型:木马
影响系统:Win9x / WinNT
病毒行为:
这是一个盗取传奇账号的木马病毒。该病毒发作的时候会将自己拷贝到“系统信息”程序所在的目录(在%SystemDriver%\\Progra~1Common~1\\Micros~1\\msinfo\\,注:%SystemDriver%是操作系统所在的分区),病毒及其DLL文件的名称与“系统信息”程序及其DLL文件非常相似,具有很大的欺骗性。该病毒会监视用户的输入,如果是病毒作者感兴趣的东西,病毒就会将其记录下来并发送到病毒作者的邮箱中。如果用户的机器中了该病毒,可能会导致传奇账号丢失,从而给用户带来一定的经济损失。
1)将病毒拷贝到“系统信息”程序所在的目录下:
%SystemDriver%\\Progra~1\\Common~1\\Micros~1\\msinfo\\Msinfo.exe
%SystemDriver%\\Progra~1\\Common~1\\Micros~1\\msinfo\\Msinfo.dll (Win32.Troj.PSWLmir.24064)
这2个文件的文件名与正常的“系统信息”程序msinfo32.exe及其DLL文件msinfo32.dll非常相似, 具有很大的欺骗
性。
注:%SystemDriver%是操作系统所在的分区,例如:C,D,E,F,G
2)在注册表中为病毒添加启动项,以实现病毒的开机自启动:
NT系统:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
"Shell"="Explorer.exe %SystemDriver%\\Progra~1\\Common~1\\Micros~1\\msinfo\\Msinfo.exe"
非NT系统:
HKEY_CURREN_USER\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run
"Msinfo"="%SystemDriver%\\Progra~1\\Common~1\\Micros~1\\msinfo\\Msinfo.exe"