§ 概述

病毒别名：

处理时间：2004-07-05

威胁级别：★★

中文名称：传奇密码天使

病毒类型：木马

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

vc编写,upx压缩

传染条件:

伪装成有用的程序,诱导用户运行

发作条件:

这是一个传奇木马,用来偷盗传奇3的帐号密码,并通过email发送给攻击者

§ 病毒特性

系统修改:

1,拷贝自身到%System%

2,在%System%建立一个同木马同名的文件,扩展名为dll

3,结束下列进程:

ravmon

passwordguard

mailmon

kavsvcui

vptray

system.exe

IPARMOR.EXE

system

netbargp

EGhost

-+-f+--|

-|+?-+-f+a++

PASSWO~1

EGhostmailmon

kvmonxp

pfw.exe

Iparmor.exe

Eghost.exe

PasswordGuard.exe

DFVSNET.EXE

Kvfw.exe

kvapfw.exe

4,如果用户安装了传奇3,当用户输入帐号密码时,进行截图,并把截图结果发送给攻击者

5,想注册表添加:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"Ntech.patchs"="%System%"

发作现象:

木马运行后,如果用户安装了防火墙,将会出现防火墙不可用或者莫名其妙退出的情况.

特别说明:

• 考夫卡
• 考姆兹
• 考姆孜
• 考实
• 考室
• 考寻
• 考寿
• 考尔德
• 考尔曼
• 考尔曼，R.
• 考工记圈
• 考异
• 考引
• 考彭斯之战
• 考征
• 考托纳，J.
• 考拉宝V1.03
• 考拉纳莫达
• 考据
• 考据学
• 考文垂足球俱乐部
• 考斯加可夫，Α.Н.
• 考斯达·祖
• 考普
• 考普员工上网监控系统V2007Build20070101