病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这是一个盗取传奇游戏帐号和密码的木马病毒。它注册为一个钩子组件，当启动Explorer的时候就运行了病毒释放的DLL文件，该文件再启动木马病毒。

1.将自身复制为%System32%\\SVCH0ST.EXE，%System32%\\MlcrosoftSound.wav，并释放以下DLL文件：

%System32%\\lnterapi32.dll

%System32%\\lnterapi64.dll

这些文件都是只读、隐藏、系统属性。运行病毒副本%System32%\\SVCH0ST.EXE，并在当前目录创建批处理文件“$$336699.bat”，来删除原始

病毒文件。

2.将自己注册为组件，以此来启动病毒自身。

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]

[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}]

@="hookmir"

[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\InprocServer32]

@="%System32%\\lnterapi64.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\ProgID]

@="lnterapi64.classname""{081FE200-A103-11D7-A46D-C770E4459F2F}"="hookmir"

[HKEY_CLASSES_ROOT\\lnterapi64.classname]

@="hookmir"

[HKEY_CLASSES_ROOT\\lnterapi64.classname\\Clsid]

@="{081FE200-A103-11D7-A46D-C770E4459F2F}"

3.将lnterapi32.dll通过注册窗口钩子的方式注入到其他进程，挂钩系统的鼠标和键盘消息，从而窃取用户的传奇游戏帐号和密码。