病毒别名

病毒行为

传播

病毒别名

处理时间：2006-09-06 威胁级别：★★

中文名称：传奇木马变种CI 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为

该病毒为Windows平台下的专门针对于传奇网络游戏的盗号型木马，病毒运行后复制自身成伪系统正常文件,

然后利用钩子技术将病毒代码注入每一个进程中，发现传奇网络游戏时，病毒利用键盘钩子和鼠标钩子记录

用户帐号、密码、角色装备信息，然后将信息发送给病毒作者。同时该病毒运行过程中尝试通过网络下载并

运行其它病毒。病毒运行过程中实时监视并关闭相关反病毒软件。

传播

病毒主要通过网络欺骗和捆绑软件方式进行传播。

1、病毒运行后将自身复制为以下伪系统正常文件:

%Windir%\\_svchost_.exe

2、释放出主盗号程序:

%Windir%\\_msvc_.dll

3、添加如下注册表项使病毒开机后自动运行:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]

"Shell" = "Explorer.exe %Windir%\\_svchost_.exe"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"_System_Run" = "%Windir%\\_svchost_.exe"

4、在Win9x系统下病毒通过修改"Win.ini"文件的以下项目使病毒开机后自动运行:

[Windows]

Run = %Windir%\\_svchost_.exe

5、病毒运行过程中会删除以下注册表项:

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"sys_Runt1" = value

"sys_Runtt1" = value

6、枚举系统中的进程列表，并终止以下相关反病毒软件的进程:

kvp.kxp

KVMonXP.kxp

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

7、病毒查找到包含以下窗体名/类名的程序时，终止窗体对应的程序进程:

RavMonClass

天网防火墙个人版

天网防火墙企业版

噬菌体

TfLockDownMain

ZoneAlarm

ZAFrameWnd

8、在Win9x系统下病毒会尝试调用"RegisterServiceProcess" api进行进程隐藏，使用户不易发觉。

9、病毒运行过程中创建一个名为"M1Class"的互斥对象进行检查病毒是否已经运行。

10、网络状态可用时，病毒尝试连接以下地址下载其它病毒:

http://www.a**.com/hehe/123.exe

http://www.ly****.com/www/1.exe

11、主盗号dll运行后将病毒代码注入每个进程中，并通过键盘、鼠标钩子技术记录用户游戏帐号密码信息，然后将信息发送给病毒作者。