病毒名称： Trojan-Psw.Win32.lmir.ac

病毒类型： 木马

危害等级： 中

文件长度： 88,908 字节

感染系统： windows 9x 以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： PEtite 2.2

病毒描述：

该病毒是一个盗取密码的木马程序。感染该病毒后删除原病毒体，释放四个病毒文件。修改注册表中 HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ 下的值。遍历系统进程，查找某些反病毒及安全软件的进程并试图将其终止，加入系统进程，进程名为 mcc.exe 。

行为分析：

1 、复制自身到系统目录下：

svch0st.exe ，同时释放 objectsl.wix 、 prgusel0.wix 、

prgusel1.wix 病毒相关文件。

2 、修改注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\ShellExecuteHooks\\{081FE200-A103-11D7-A46D-C770E4459F2F}

值： "hookmir"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Prgusel1.classname\\@

值： "hookmir"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{081FE200-A103-11D7-A46D-C770E4459F2F}\\ProgID\\@

值： "Prgusel1.classname"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{081FE200-A103-11D7-A46D-C770E4459F2F}

\\InprocServer32\\ThreadingModel

值： "Apartment"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{081FE200-A103-11D7-A46D-C770E4459F2F}\\InprocServer32\\@

值 : 字串 : "C:\\WINNT\\System32\\Prgusel1.wix"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{081FE200-A103-11D7-A46D-C770E4459F2F}\\@

值： "hookmir"

3 、终止某些反病毒软件及安全软件的进程：

PasswordGuard.exe KVXP.KXP

KVMonXP.KXP Symantec AntiVirus

KV2004 RavMon.exe

ZoneAlarm EGHOST.EXE

MAILMON.EXE KAVPFW.EXE