论坛: 病毒专区 标题: 新木马传奇密码终结者分析 复制本贴地址    
作者: CyberSpy [cyberspy]    论坛用户   登录
 ##传奇密码终结者Ver2.0  (又名传奇盗号工)##
 作者主页:http://61.185.129.64/feng/index1.htm
 软件简介:通过取得击键记录,正确截取传奇登陆区域、用户名、密码、服务器及修改密码、注册新用户里的所有信息并将其发送到指定信箱(在最新版本V2.0中能自行判断用户名及密码的准确性,能自动过滤私服、重复记录及更能有效的躲过防火墙)注册费用80:00元。免费提供常见文件合并器。免费升级!不会被任何杀读软件查杀不到的。1分钟发到邮箱。比起其他软件经济又实惠有意请与我联系或留言. (不买的请不要加我,谢谢合作)

 前几天听朋友说过,今天手动看看啦~~

浅层次分析,没有涉及程序底层(没有进行反编译等):
运行了LMir.exe或者Spying.exe之后:(两个运行后结果一样~,一个是守护进程)
------------------------------------------------------- 
C:\WINDOWS\ 下:
  修改了msimgsiz.dat (有关ie的东)
        system.dat和user.dat(其实就是注册表啦~) 
        win.ini
        win386.swp
  新增了lmir.exe
C:\WINDOWS\SYSTEM\ 下:
  新增了comir.exe,finalmir.exe,spying.exe
---------------------------------------------------------
由msconfig中来看:
修改了win.ini [windows]小节:run项值:由run= 改为了run=C:\WINDOWS\SYSTEM\Spying.exe

修改了system.ini [boot]小节:由shell=Explorer.exe改为了shell=Explorer.exe C:\WINDOWS\SYSTEM\Finalmir.exe

启动中添加了:Lmir C:\WINDOWS\Lmir.exe 一项
---------------------------------------------------------
注册表中来看:
被修改的键:
 HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command\@
和HKEY_CLASSES_ROOT\txtfile\shell\open\command\@
Old value: "C:\WINDOWS\NOTEPAD.exe %1"
New value: "C:\WINDOWS\SYSTEM\Comir.exe %1"
(两个效果是一样的,修改了txt文件关联,当打开txt文件是自动运行comir.exe木马程序)
新增加的键:
 HKEY_LOCAL_MACHINE\SOftware\Microsoft\Windows\CurrentVersion\RunServices\Lmir
value: "C:\WINDOWS\Lmir.exe"
(木马程序开机自启动运行)

#############################################################
综上分析:一款毫无新意的木马!!!很普通的截获击键记录的马儿!
(可能是我没有进行深入分析,也许它还有其他的秘密咯!)


手工清除:
  1、用优化大师等 系统进程管理器 杀掉LMIR.exe这个进程;
  2、开始-> 运行-> msconfig  根据以上分析修改win.in system.ini和启动项~ 提示重新启动,暂时不要重启;或者用系统配置编辑程序sysedit。exe修改这几处!
  3、找到comir.exe,finalmir.exe,spying.exe;彻底删除!
  4、开始-> 运行-> regedit  打开注册表 根据以上分析修改txt文件关联,取消lmir自启动。(由于是关联txt文件,所以这里与前面几项的顺序关系不大,要素是关联exe文件则需要注意清除的顺序了哦)
搞定!!!


以上在win98 SE 通过。
   
                            CyberSpy   2003.01.04



[此贴被 CyberSpy(cyberspy) 在 01月11日17时21分 编辑过]

地主 发表时间: 2003-01-11 17:43:21
回复: gogolobaby [gogolobaby]   论坛用户   登录
老大有够帅!!!!

B1层 发表时间: 03/25 09:39

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号