病毒别名： 处理时间：2007-04-04 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个传奇的盗号木马，它除了盗取传奇的帐号与密码外，

还会下载其它的病毒。

建议用户不要运行来历不明的文件，并打开病毒防火墙。

1：拷贝与释放文件

病毒运行后，会把自己拷贝到下面的目录中

C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\system.2dt

并释放一个DLL文件

C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\ewInfo.dll (Win32.Troj.Lmir.pc.40720)

2：更改注册表

病毒会把释放的DLL文件注册为一个钩子，使DLL文件注入到每个进程的空间中运行

HKEY_CURRENT_USER\\\\CLSID\\\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\\\\InProcServer32

(Default) = "C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\ewInfo.dll"

HKEY_CURRENT_USER\\\\CLSID\\\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\\InProcServer32

ThreadingModel = "Apartment"

HKEY_LOCALMACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\ShellExecuteHooks\\\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}

(Default)

3：盗取帐号

NewInfo.dll一但发现自己注入的进程是传奇的进程，则挂接上钩子，并截取用户输入的帐号与密码，

并把得到的信息通过网站上传的方式上传到http://*****.net上面。

4：下载其它木马

病毒还会下载以下木马程序，使用户的计算机受到更多的木马感染

http://*****.net/usercfg/gg.exe

http://*****.net/usercfg/ms.exe

http://*****.net/usercfg/wl.exe

http://*****.net/usercfg/zz.exe

http://*****.net/usercfg/mh.exe

http://*****.net/usercfg/gm.exe

http://*****.net/usercfg/ii.exe

http://*****.net/usercfg/qq.exe

http://*****.net/usercfg/rx.exe

http://*****.net/usercfg/sj.exe