运行后复制自身到系统目录%System%\vpcrm.exe,并改名QQ目录下TIMPlatform.exe为TIMPlatfrom.exe,复制自身为TIMPlatform.exe
病毒名称:Trojan-PSW.Win32.Lmir.bcn(Kaspersky)
病毒别名:Trojan.PSW.Lmir.lhp(瑞星)
Backdoor/Agent.ayu(江民)
病毒大小:21,973 字节
加壳方式:NSPack
样本MD5:049ad2dc5bf06c741e7370f1fe3312a7
样本SHA1:1c71f3db7e03502b4463d80a4346b3b998bcbe5c
发现时间:2006.10
更新时间:2006.10
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
这个木马没有进程,运行后进驻内存调用IE(iexplore.exe)访问远程信息下载木马或其它恶意程序。
运行后复制自身到系统目录%System%\vpcrm.exe,并改名QQ目录下TIMPlatform.exe为TIMPlatfrom.exe,复制自身为TIMPlatform.exe,使得QQ运行时也会调用运行病毒文件,此外,和之前的一些变种一样,它也释放了驱动文件%System%\drivers\moduleusb.sys。
创建的启动项是:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\vpcrm.exe"
清除步骤
==========
1. 删除病毒文件:
%System%\vpcrm.exe
%QQ%\TIMPlatform.exe
%System%\drivers\moduleusb.sys
2. 改名QQ目录下TIMPlatfrom.exe为TIMPlatform.exe
3. 删除启动项:
4. 重新启动计算机
原文地址:http://ljs3509.bokee.com/tb.b?diaryId=13274396
京公网安备 11010802021500号