| 引用: |
【岳海旭的贴子】Explorer.EXE>>C:\WINDOWS\System32\CQ0dll.dll ->Trojan.PSW.LMir.adr
此病毒为何物,希望大家给点资料。谢谢
........................... |
病毒分类 WINDOWS下的PE病毒 病毒名称 Trojan.PSW.LMir.adr
别 名 病毒长度
依赖系统 传播途径
行为类型 WINDOWS下的木马程序 感 染
病毒发作瑞 星 版 本 号 17.16.30
盗取传奇密码的木马,采用Delphi编写。
首次运行后将自己拷贝到C:\program
files\explorer.exe,并释放动态库cq0dll.dll到系统目录下。
添加注册表启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Loadmecq0 : C:\program files\explorer.exe
这样,每次开机病毒都能启动。
在98下还会注册为服务,增加隐藏性。
病毒每隔1秒钟遍历进程和窗体,结束一些反病毒进程,如:
PasswordGuard.exe,RavMon.exe,天网防火墙个人版,天网防火墙企业版,噬菌体,ZoneAlarm,EGHOST.EXE,MAILMON.EXE,KAVPFW.EXE,IPARMOR.EXE....
大多数为国内反病毒软件,可见病毒作者来自国内。
病毒调用cq0dll.dll里的函数。cq0dll.dll含主要病毒代码,获取“传奇”游戏的窗体和进程,获得其中的关键信息,如帐号、密码、服务器等。在获得关键信息后,病毒直接将信息发送到外部web主机,由于使用HTTP协议,容易躲过防火墙的拦截。
