如果大家有兴趣可以研究一下这个木马~
点击这里下载这个木马 这个木马会产生自动启动项目的,毒霸无法查杀,但会定义为可疑文件. Trojan-PSW.Win32.Lmir.aje
Aug 18 2005
可能是这个的变种
1.Trojan.PSW.Lmir.hpl
破坏方法:窃取密码的木马程序
此病毒启动后将自己安装到
%program files% 目录下并且改名为explorer.exe ,文件图标为"记事本"的图标,病毒在后台隐藏运行并且在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加一项自启动项,此病毒在会释放出一个动态库文件并且加载此动态库,病毒大部分的功能全部在此动态库中。
此病毒加载动态库后会在系统中每隔1秒就对系统中的一些反病毒软件进行遍历并且将遍历到的软件进程强行结束,具体如下:
1.利用查找窗体的方式搜索具有下列 名称的窗体,发现后向窗体发送关闭消息将其强行结束
RavMon.exe
天网防火墙个人版
天网防火墙企业版
噬菌体
TfLockDownMain
ZoneAlarm
2.在系统中搜索具有下列名字的进程并将进程强行结束
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
3.在系统通过注册表找到"密码防盗专家"的安装路径,并且到此路径下搜索文件,找到后尝试打开文件,如果打开失败的话就认为此文件正在内存中运行,然后就试图在内存中强行结束此文件在内存中的进程.
病毒释放的动态库文件通过截获键盘和鼠标的消息来找到游戏客户端的进程,然后在进程内存中查找输入的游戏帐号和密码并将获取到的密码和帐号发送出去. “还有若干QQ密码”?我以前好像只能得到一个空的邮箱。要向Y好好学习 木马?我喜欢,拿着……
灭哈哈—— 灭哈哈……谢谢epc提供病毒。
成功缴获邮箱一个还有若干QQ密码,不知道是哪个论坛发现的。原邮箱密码已经被我更改,现在这个木马不能继续发信了。 这帮人.....莫非前一阵子大量星迷QQ被盗就是.... 好像就是这个,道德品质败坏……
刚才打开看了一下……
upx的壳子……
用户名和邮箱密码都在里边…… 以下是引用MrBlackOx在2005-8-21 16:28:00的发言:<br>好像就是这个,道德品质败坏……
刚才打开看了一下……
upx的壳子……
用户名和邮箱密码都在里边……
是哦~用UPX解压后的确报毒了~~~ 什么年代了
还用upx,可定是只小鸟
不过,我怎么下不到来看看?
[公告]堂而皇之的木马瑞星/金山毒霸就是查不出!!!!
本人在论坛上发现这个木马,文件是WINRAR的EXE自解压包,其中自解压包中含有自动运行木马的脚本,脚本如下
Setup=mima.exe
Presetup=密码.txt
Silent=1
Overwrite=1
然而,mima.exe是木马主程序
密码.txt是无关的文件
而且木马程序是以WINXP文件夹为图标,很容易诱使人去双击它,然后木马就运行了
更蹊跷的是这个木马竟然能不被著名杀毒软件"瑞星"及"金山毒霸"查杀!!!
============
运行木马后
============
自动关闭杀毒软件及计算机监控程序
在C:\WINDOWS\SYSTEM32下创建ntsvc.exe文件
在内存驻留mima.exe进程!
============
由于本人发先后及时关闭该进程,所以后面会有什么后患本人不知道
============
页:
[1]