##传奇密码终结者Ver2.0 (又名传奇盗号工)##
作者主页:http://61.185.129.64/feng/index1.htm
软件简介:通过取得击键记录,正确截取传奇登陆区域、用户名、密码、服务器及修改密码、注册新用户里的所有信息并将其发送到指定信箱(在最新版本V2.0中能自行判断用户名及密码的准确性,能自动过滤私服、重复记录及更能有效的躲过防火墙)注册费用80:00元。免费提供常见文件合并器。免费升级!不会被任何杀读软件查杀不到的。1分钟发到邮箱。比起其他软件经济又实惠有意请与我联系或留言. (不买的请不要加我,谢谢合作)
前几天听朋友说过,今天手动看看啦~~
浅层次分析,没有涉及程序底层(没有进行反编译等):
运行了LMir.exe或者Spying.exe之后:(两个运行后结果一样~,一个是守护进程)
-------------------------------------------------------
C:\WINDOWS\ 下:
修改了msimgsiz.dat (有关ie的东)
system.dat和user.dat(其实就是注册表啦~)
win.ini
win386.swp
新增了lmir.exe
C:\WINDOWS\SYSTEM\ 下:
新增了comir.exe,finalmir.exe,spying.exe
---------------------------------------------------------
由msconfig中来看:
修改了win.ini [windows]小节:run项值:由run= 改为了run=C:\WINDOWS\SYSTEM\Spying.exe
修改了system.ini [boot]小节:由shell=Explorer.exe改为了shell=Explorer.exe C:\WINDOWS\SYSTEM\Finalmir.exe
启动中添加了:Lmir C:\WINDOWS\Lmir.exe 一项
---------------------------------------------------------
注册表中来看:
被修改的键:
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command\@
和HKEY_CLASSES_ROOT\txtfile\shell\open\command\@
Old value: "C:\WINDOWS\NOTEPAD.exe %1"
New value: "C:\WINDOWS\SYSTEM\Comir.exe %1"
(两个效果是一样的,修改了txt文件关联,当打开txt文件是自动运行comir.exe木马程序)
新增加的键:
HKEY_LOCAL_MACHINE\SOftware\Microsoft\Windows\CurrentVersion\RunServices\Lmir
value: "C:\WINDOWS\Lmir.exe"
(木马程序开机自启动运行)
#############################################################
综上分析:一款毫无新意的木马!!!很普通的截获击键记录的马儿!
(可能是我没有进行深入分析,也许它还有其他的秘密咯!)
手工清除:
1、用优化大师等 系统进程管理器 杀掉LMIR.exe这个进程;
2、开始-> 运行-> msconfig 根据以上分析修改win.in system.ini和启动项~ 提示重新启动,暂时不要重启;或者用系统配置编辑程序sysedit。exe修改这几处!
3、找到comir.exe,finalmir.exe,spying.exe;彻底删除!
4、开始-> 运行-> regedit 打开注册表 根据以上分析修改txt文件关联,取消lmir自启动。(由于是关联txt文件,所以这里与前面几项的顺序关系不大,要素是关联exe文件则需要注意清除的顺序了哦)
搞定!!!
以上在win98 SE 通过。
CyberSpy 2003.01.04
|
论坛用户
论坛用户
论坛用户
论坛用户
论坛: 菜鸟乐园 标题: 新木马传奇密码终结者简析