概述
病毒別名:Trojan-PSW.Win32.Lmir.xh 【AVP】,Trojan/PSW.Lmir.aaq 【KV】處理時間:
威脅級別:★★
中文名稱:傳奇黑面
病毒類型:木馬
影響系統:Win9x / WinNT
病毒行為:
這是一個盜取傳奇賬號的木馬病毒。該病毒發作的時候會將自己拷貝到“系統信息”程式所在的目錄(在%SystemDriver%\Progra~1Common~1\Micros~1\msinfo\,註:%SystemDriver%是作業系統所在的分區),病毒及其DLL檔案的名稱與“系統信息”程式及其DLL檔案非常相似,具有很大的欺騙性。該病毒會監視用戶的輸入,如果是病毒作者感興趣的東西,病毒就會將其記錄下來並傳送到病毒作者的信箱中。如果用戶的機器中了該病毒,可能會導致傳奇賬號丟失,從而給用戶帶來一定的經濟損失。1)將病毒拷貝到“系統信息”程式所在的目錄下:
%SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\msinfo.exe
%SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.dll (Win32.Troj.PswLMir.24064)
這2個檔案的檔案名稱與正常的“系統信息”程式msinfo32.exe及其DLL檔案msinfo32.dll非常相似, 具有很大的欺騙
性。
註:%SystemDriver%是作業系統所在的分區,例如:C,D,E,F,G
2)在註冊表中為病毒添加啟動項,以實現病毒的開機自啟動:
NT系統:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe %SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.exe"
非NT系統:
HKEY_CURREN_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run
"Msinfo"="%SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.exe"
