Win32.Troj.Mir2WH
Win32.Troj.Mir2WH
病毒别名:
处理时间:
威胁级别:★★
中文名称:武汉男生
病毒类型:木马
影响系统:Win9x / WinNT
病毒行为:
这是一个窃取传奇账号密码的木马病毒。该病毒会修改.txt的文件关联到病毒文件,使得每次打开文本文件的时候该病毒都会被运行一次。此外该病毒还会关闭一些常见的反病毒软件,导致系统的安全性能严重下降。病毒将窃取到的传奇账号密码发送到黑客指定的邮箱中。
1)建立互斥体Hx9Ea9PW,防止病毒的多个实例同时运行。
2)将病毒拷贝到:
%System%\\windows.exe
%System%\\system32.exe
%System%\\Microsoft.exe
3)通过修改注册表和system.ini来实现病毒的开机自启动:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
"windows update"="%System%\\Microsoft.exe"
HKEY_LCOAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
"shell"="Explorer.exe %System%\\windows.exe"
修改system.ini:
[boot]
"shell"="Explorer.exe %System%\\windows.exe"
4)修改.txt文件关联到病毒文件:
HKEY_CURRENT_USER\\txtfile\\shell\\open\\command
"default"="%System%\\system32.exe %1"
5)关闭下列反病毒软件:
密码防盗专家 综合版
PasswordGuard.exe
Symantec AntiVirus 企业版
江民杀毒软件 KV2004:实时监视
天网防火墙个人版
天网防火墙企业版
密码防盗
绿鹰PC
QQ病毒专杀工具
腾讯QQ病毒
噬菌体
木马克星
Iparmor.exe
MAILMON.EXE
KAVPFW.EXE