Win32.Troj.MirSock.b

病毒名稱

Win32.Troj.MirSock.b
病毒別名：TrojanDownloader.Win32.Small.hf【AVP】
處理時間：
威脅級別：★★
中文名稱：
病毒類型：木馬
影響系統：Win98/WinNT

病毒行為

該病毒偽裝成一個rar壓縮檔，一旦運行之後將釋放一個DLL檔案，然後修改註冊表替換掉系統通信的DLL檔案，截獲並分析用戶的傳奇數據包，從而竊取用戶的傳奇帳號和密碼。
1.釋放檔案：%system%\ws2_64.dll（Win32.Troj.Pasorot.k）。
2.修改註冊表。
修改鍵值：
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\WinSock\
"1001"="%SystemRoot%\system32\msafd.dll"
"1002"="%SystemRoot%\system32\msafd.dll"
"1003"="%SystemRoot%\system32\msafd.dll"
"1004"="%SystemRoot%\system32\rsvpsp.dll"
"1005"="%SystemRoot%\system32\rsvpsp.dll"
"PathName"="C:\WINNT\System32\ws2_64.dll"
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\
"PackedCatalogItem"="<%system%\ws2_64.dll...>"
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\
"PackedCatalogItem"="<%system%\ws2_64.dll...>"
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\
"PackedCatalogItem"="<%system%\ws2_64.dll...>"
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\
"PackedCatalogItem"="<%system%\ws2_64.dll...>"
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\
"PackedCatalogItem"="<%system%\ws2_64.dll...>"
3.通過將Sock函式對應的DLL替換成ws2_64.dll，截取數據包。然後分析數據包中的傳奇密碼數據修改用戶傳奇密碼。