§ 概述

病毒别名：Trojan.PSW.LMir.ig【瑞星】

处理时间：2004-07-17

威胁级别：★

中文名称：传奇木马

病毒类型：木马

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:Borland Delphi 6.0 - 7.0

传染条件:用户运行该文件，或被他人植入

发作条件:用户玩传奇世界时

§ 系统修改:

A、

1、拷贝自身到:

%SystemRoot%sws32.exe

2、释放文件：

%SystemRoot%swin32.dll

B、

1、向注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

添加如下键值：

"ws_ds" = "%SystemRoot%sws32.exe"

2、向注册表主键：

HKEY_LOCAL_MACHINESOFTWAREClasseswoool

添加如下键值：

"sysint"＝"6"

"WinX" ＝"2"

3 修改注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

"Shell"＝"Explorer.exe %SystemRoot%sws32.exe"

§ 发作现象:

1、发现有以下杀毒软件的窗口，则关闭该杀毒软件

天网防火墙个人版

天网防火墙企业版

木马克星

噬菌体

ZoneAlarm

EGHOST.EXE

MAILMON.EXE

2、病毒发现有以下窗口时，则会记录用户的相关游戏信息。

传奇世界客户端

传奇世界 v1.6.6.1 胜者为王

传奇世界 v1

3、记录信息 包括用户的操作系统、游戏账号、密码、装备等，并将这些信息发到指定信箱。

特别说明:

• 京茨堡
• 京菜
• 京营
• 京葱炒牛肉
• 京葱牛筋煲
• 京葱酱爆脆肠
• 京西外三营
• 京西水上游
• 京话
• 京语
• 京运
• 京那巴鲁山
• 京郊龙庆峡
• 京都
• 京都十景
• 京都四味烧排骨
• 京都大学
• 京都府
• 京都教育大学
• 京都纪事
• 京都议定书
• 京都音乐厅
• 京都鹿苑寺
• 京酱牛肉
• 京酱牛肉丝便当