|
|
| |
|
|
江民公布Trojan/PSW.LMir.fr技术分析报告
|
|
www.jiangmin.com
2004-6-22 18:36:31 作者: 信息出自:江民科技
|
|
| |
|
2004年4月1日,江民反病毒中心率先截获Trojan/PSW.LMir.fr变种。该木马专门盗取Legend of Mir 2游戏帐号和密码,并将信息发送给木马作者。
Trojan/PSW.LMir.fr
病毒长度:39,100 bytes, 5,632 bytes
病毒类型:木马
危害等级:*
影响平台:Win9X/2000/XP/NT/Me/2003
Trojan/PSW.LMir.fr是用UPX压缩过的特洛伊木马,盗取"Legend of Mir 2" 在线游戏者密码并发送给攻击者。
传播过程及特征:
1.在内存解压缩
2.在系统目录下拷贝自身
3.在系统目录下生成和原病毒同名的文件,但将其扩展名改为.DLL.
4.终止一些反病毒软件进程:
ravmon
passwordguard
mailmon
kavsvcui
vptray
system.exe
IPARMOR.EXE
system
netbargp
EGhost
-+-f+--|
-|+?-+-f+a++
PASSWO~1
EGhostmailmon
kvmonxp
pfw.exe
Iparmor.exe
Eghost.exe
PasswordGuard.exe
DFVSNET.EXE
Kvfw.exe
kvapfw.exe
5.获取 "Legend of Mir 2"密码并发送给木马作者。
6.修改注册表,从而形成一个无限循环:
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加"Ntech.patchs"="病毒文件路径"
|
|
| |
|
|
|
|
| |
|
| |
|
| |
|
| |
|
| |
|
|
|
