概述
病毒別名:Trojan.PSW.Lmir.ny【AVP】
處理時間:
威脅級別:★★
中文名稱:海盜傳奇木馬
病毒類型:木馬
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行為:
編寫工具:
傳染條件:
發作條件:
系統修改:
A、將自身複製為:"%SystemRoot%svch0st_.exe"
釋放一個DLL到:"%SystemRoot%lsas.bmp"
如果不是從"%SystemRoot%svch0st_.exe"啟動,則自我刪除。
B、將註冊表主鍵HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下的
"Shell" = "Explorer.exe" (windows默認)
修改為:
"Shell" = "Explorer.exe %SystemRoot%svch0st_.exe"
以在系統啟動的時候啟動木馬
發作現象:
試圖關閉防火牆。(關閉如下防火牆)
"Symantec AntiVirus 企業版"
"江民防毒軟體 KV2004:實時監視"
"PasswordGuard.exe"
"RavMon.exe"
"LockDown"
"ZoneAlarm"
"天網防火牆"
"噬菌體"
"木馬剋星"
"EGHOST.EXE"
"MAILMON.EXE"
"KAVPFW.EXE"
特別說明:
該木馬截取傳奇遊戲的帳號信息傳送到指定信箱。並會關閉大多數防火牆。
該病毒生成機使用了號稱採用了變形特徵碼技術,使得每一個生成的木馬檔案結構都不一樣。
