簡介
Trojan/PSW.Mir7005.aw
病毒類型:木馬
病毒大小:69196位元組,47616位元組,67072位元組
傳播方式:網路
危害等級:**
“密碼7005”木馬病毒的最新變種Trojan/PSW.Mir7005.aw運用鍵盤和滑鼠掛鈎技術竊取傳奇遊戲帳號、密碼等信息,通過電子郵件傳送給病毒作者。同時還會終止多種其他傳奇遊戲木馬的進程。
近幾個月來,盜竊網路遊戲密碼的病毒日益猖獗,各種木馬病毒都頻繁推出變種,更新技術,企圖躲避防毒軟體的追殺。而病毒作者之間由於利益衝突也存在著尖銳的競爭關係。此次,“密碼7005” 採用了直接殺掉同類木馬的極端做法,標誌著國內木馬作者們陷入了互相火併的惡性競爭。有可能重蹈“雛鷹”和“網路天空”在今年上半年進行病毒大賽的覆轍。
江民公司提醒廣大用戶,要及時升級病毒庫,上網時開啟KV的實時監控,把您的私密信息加入KV的隱私保護功能,以免成為各種木馬病毒的受害者。
“密碼7005”具體技術特徵如下:
介紹
病毒啟動後,首先查找類名和標題具有下列特徵的視窗,一旦發現就將其進程強行結束。
"#32770", "執行者5.16(獨立版)"
"TIntrenat", "intrenat"
"TNaNaDE", "Form1"
"TZhangyongPwS3", "Windows IDE"
"MyClass", "!@#$CJT%^&*"
如果用戶機器已經感染了“執行者”、“傳奇獵手”、“海航大盜”、“密碼張”、“傳奇2終結者”、“傳奇天使”等傳奇木馬病毒,這些病毒進程將會被“密碼7005”終止。
2. 在用戶計算機中創建以下檔案:
%System%\exp1orer.exe, 69196位元組,病毒自身
%System%\inetapi32.dll, 47616位元組,滑鼠鍵盤掛鈎模組
%System%\inetapi64.dll, 67072位元組,啟動模組
%Windir%\mfcd3o.dll, 69196位元組,病毒自身
3. 把inetapi64.dll註冊成為IE組件,這樣每次系統啟動時,病毒模組inetapi64.dll都會被自動載入。該模組負責啟動病毒主程式exp1orer.exe。
4. 病毒主程式通過inetapi32.dll安裝鍵盤和滑鼠掛鈎,竊取用戶對傳奇遊戲視窗的鍵盤和滑鼠操作。主程式和掛鈎模組通過共享記憶體傳遞信息,主程式每隔1分鐘把竊取的遊戲帳號、密碼和裝備等信息通過電子郵件傳送給病毒作者。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。