- 注册时间
- 2005-1-9
- 最后登录
- 1970-1-1
|
发表于 2005-8-18 13:04:00
|
显示全部楼层
Trojan-PSW.Win32.Lmir.aje
Aug 18 2005
可能是这个的变种
1.Trojan.PSW.Lmir.hpl
破坏方法:窃取密码的木马程序
此病毒启动后将自己安装到
%program files% 目录下并且改名为explorer.exe ,文件图标为"记事本"的图标,病毒在后台隐藏运行并且在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加一项自启动项,此病毒在会释放出一个动态库文件并且加载此动态库,病毒大部分的功能全部在此动态库中。
此病毒加载动态库后会在系统中每隔1秒就对系统中的一些反病毒软件进行遍历并且将遍历到的软件进程强行结束,具体如下:
1.利用查找窗体的方式搜索具有下列 名称的窗体,发现后向窗体发送关闭消息将其强行结束
RavMon.exe
天网防火墙个人版
天网防火墙企业版
噬菌体
TfLockDownMain
ZoneAlarm
2.在系统中搜索具有下列名字的进程并将进程强行结束
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
3.在系统通过注册表找到"密码防盗专家"的安装路径,并且到此路径下搜索文件,找到后尝试打开文件,如果打开失败的话就认为此文件正在内存中运行,然后就试图在内存中强行结束此文件在内存中的进程.
病毒释放的动态库文件通过截获键盘和鼠标的消息来找到游戏客户端的进程,然后在进程内存中查找输入的游戏帐号和密码并将获取到的密码和帐号发送出去. |
|