Win32.Troj.Mir7005Hook.ab
Win32.Troj.Mir7005Hook.ab
病毒别名:
处理时间:
威胁级别:★★
中文名称:
病毒类型:木马
影响系统:Win9x / WinNT
病毒行为:
这是一个盗取传奇游戏帐号和密码的木马病毒。它注册为一个钩子组件,当启动Explorer的时候就运行了病毒释放的DLL文件,该文件再启动木马病毒。
1.将自身复制为%System32%\\SVCH0ST.EXE,%System32%\\MlcrosoftSound.wav,并释放以下DLL文件:
%System32%\\lnterapi32.dll
%System32%\\lnterapi64.dll
这些文件都是只读、隐藏、系统属性。运行病毒副本%System32%\\SVCH0ST.EXE,并在当前目录创建批处理文件“$$336699.bat”,来删除原始
病毒文件。
2.将自己注册为组件,以此来启动病毒自身。
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}]
@="hookmir"
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\InprocServer32]
@="%System32%\\lnterapi64.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\ProgID]
@="lnterapi64.classname""{081FE200-A103-11D7-A46D-C770E4459F2F}"="hookmir"
[HKEY_CLASSES_ROOT\\lnterapi64.classname]
@="hookmir"
[HKEY_CLASSES_ROOT\\lnterapi64.classname\\Clsid]
@="{081FE200-A103-11D7-A46D-C770E4459F2F}"
3.将lnterapi32.dll通过注册窗口钩子的方式注入到其他进程,挂钩系统的鼠标和键盘消息,从而窃取用户的传奇游戏帐号和密码。