)Trojan-PSW.Win32.Lmir.atv
病毒类型: 木马类
文件 MD5:7351c8affecbd8a0ae644c7142c45c35
公开范围: 完全公开
危害等级: 中
文件长度:90448 字节
感染系统: windows98以上版本
命名对照:Symentec[无]
Mcafee[无]
病毒描述:
该病毒属木马类。病毒运行后在系统盘创建相关文件,之后修改注册表文件,添加到启动项,达到随系统启动的目的。在任务管理器中显示为WINLOGON.EXE进程,用户名为机器名,伪装系统进程winlogon.exe。该病毒对用户有一定的危害。
行为分析:
1.病毒运行后在系统盘创建相关文件,之后修改注册表文件。
2.病毒运行后创建如下文件:
%program Files%\common files
%program Files%\internet explorer
%windir%/debug
%system32%
%windir% iexplore.com
iexplore.com
debugprogram.exe
dxdiag.com
Finder.com
Msconfig.com
Regedit.com
Rundll32.com
Command.pif
1.com
exeroute.exe
explorer.com
finder.com
WINLOGON.EXE
3.添加注册表启动,达到随系统启动的目的:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
键值:字串:“Torjan Program”= “C:\WINDOWS\WINLOGON.EXE"
4.新建注册表项:
HKEY_CURRENT_USER\Software\Microsoft
\Internet Explorer\Main\
新建键名:”Check_Associations”
新建键值:"No"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\C:\Program Files\common~1\
新建键名:”iexplore.pif”
新建键值: "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon\
新建键名:”默认“
新建键值: "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\Shell\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\
新建键名:”默认“
新建键值: "C:\WINDOWS\ExERoute.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\LocalizedString
新建键名:”默认“
新建键值: "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\open\
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\open\command\
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\open\command\
新建键名:”默认”
新建键值: ""C:\Program Files\common~1\iexplore.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
新建键名:Torjan Program
新建键值: "C:\WINDOWS\WINLOGON.EXE"
5.修改的注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew
原键值:字串:Command”=””%SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
改键值:字串:Command”="%SystemRoot%\system32\rundll32.com
%SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
原键值:字串:”默认”="exefile"
改键值:字串:”默认”="winfiles"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew
原键值:字串:”Command”= "rundll32.exe appwiz.cpl,NewLinkHere %1"
改键值:字串:”Command”="rundll32.com appwiz.cpl,NewLinkHere %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\command\
原键值:字串:”默认” =""C:\Program Files
\Internet Explorer\iexplore.exe" %1"
改键值:字串:”默认” =""C:\Program Files
\Internet Explorer\iexplore.com" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID \\shell\OpenHomePage\Command
原键值:字串:”默认”=""C:\Program Files\Internet Explorer
\iexplore.exe""
改键值:字串:"默认" =""C:\Program Files\Internet Explorer
\iexplore.com""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command
原键值:字串:”默认”="rundll32.exe shell32.dll,Control_RunDLL "%1",%*"
改键值:字串:"rundll32.com shell32.dll,Control_RunDLL "%1",%*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command
原键值:字串:”默认”="%SystemRoot%\explorer.exe"
改键值:字串:"默认"="%SystemRoot%\explorer.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command
原键值:字串:”默认”="%SystemRoot%\system32
\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
改键值:字串:"默认"="%SystemRoot%\system32
\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command
原键值:字串:”默认”=""C:\Program Files
\Internet Explorer\iexplore.exe" %1"
改键值:字串:"默认"=""C:\Program Files
\Internet Explorer\iexplore.com" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command
原键值:字串:”默认”=""C:\Program Files
\Internet Explorer\iexplore.exe" -nohome"
改键值:字串:"默认"=""C:\Program Files
\Internet Explorer\iexplore.com" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command
原键值:字串:”默认”=""C:\Program Files
\Internet Explorer\iexplore.exe" %1"
改键值:字串:"默认"=""C:\Program Files\common~1\iexplore.pif" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\htmlfile\shell\print\command
原键值:字串:”默认”="rundll32.exe %SystemRoot%
\system32\mshtml.dll,PrintHTML "%1""
改键值:字串:"默认"="rundll32.com %SystemRoot%
\system32\mshtml.dll,PrintHTML "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command
原键值:字串:”默认”=""C:\Program Files
\Internet Explorer\iexplore.exe" -nohome"
改键值:字串:"默认"=""C:\Program Files\common~1\iexplore.pif" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
\shell\Install\command
原键值:字串:”默认”="%SystemRoot%\System32
\rundll32.exe setupapi,InstallHinfSection
DefaultInstall 132 %1"
改键值:字串:"默认"="%SystemRoot%\System32
\rundll32.com setupapi,InstallHinfSection
DefaultInstall 132 %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
\shell\open\command
原键值:字串:”默认”="rundll32.exe shdocvw.dll,OpenURL %l"
改键值:字串:"默认"="finder.com shdocvw.dll,OpenURL %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command
原键值:字串:”默认”="rundll32.exe desk.cpl,InstallScreenSaver %l"
改键值:字串:"默认"="finder.com desk.cpl,InstallScreenSaver %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile\Shell\Generate
Typelib\command
原键值:字串:”默认”=""C:\WINDOWS\system32\RUNDLL32.EXE"
C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
改键值:字串:"默认"=""C:\WINDOWS\system32\finder.com"
C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open\command
原键值:字串:”默认”="rundll32.exe url.dll,TelnetProtocolHandler %l"
改键值:字串:"默认"="finder.com url.dll,TelnetProtocolHandler %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command
原键值:字串:”默认”=%SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
改键值:字串:"默认"="%SystemRoot%\system32\finder.com
%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
原键值:字串:”默认”="IEXPLORE.EXE"
改键值:字串:"默认"="iexplore.pif"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
原键值:字串:”Shell”="Explorer.exe"
改键值:字串:”Shell”="Explorer.exe 1"
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件:
%program Files%\common files
%program Files%\internet explorer
%windir%/debug
%system32%
%windir% iexplore.com
iexplore.com
debugprogram.exe
dxdiag.com
Finder.com
Msconfig.com
Regedit.com
Rundll32.com
Command.pif
1.com
exeroute.exe
explorer.com
finder.com
WINLOGON.EXE
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项。
(点击下载修复注册表文件)
注:%Program Files%是一个可变路径。系统默认的安装路径是C:\Program Files。
%windir%是一个可变路径。系统默认的安装路径是Windows2000/NT中默认的安装路径是C:\Winnt,windows95/98/me/xp中默认的安装路径是C:\Windows。
% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
