Trojan-PSW.Win32.Lmir.bnx样本分析

在劫难逃

　　病毒名称： Trojan-PSW.Win32.Lmir.bnx

　　病毒类型： 木马

　　文件MD5： 5CD80D1B024986FD8D626391DB23051E

　　公开范围： 完全公开

　　危害等级： 3

　　文件长度： 67，377 字节

　　感染系统： Windows98以上版本

　　开发工具： Borland Delphi 6.0 - 7.0

　　加壳类型： 无

　　病毒描述：

　　该病毒属木马类，病毒运行后复制自身到系统目录%windir%下，重命名为IGM.exe，备份病毒名为：庆贺十七大祖国越来越好，衍生病毒文件192896MM.DLL、888，并删除自身；修改注册表，添加启动项，以达到随机启动的目的；使用IE浏览器打开网站“中国残疾人联合会” （http://www.cdpf.org.cn/）；该木马可以盗取用户网络游戏传奇的账号与密码。

　　行为分析：

　　本地行为：

　　1、病毒运行后衍生病毒文件，并删除自身：

　　%Windir%\192896MM.DLL

　　%Windir%\IGM.exe

　　%Windir%\庆贺十七大祖国越来越好

　　%Windir%\888

　　2、修改注册表，添加启动项，以达到随机启动的目的：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　键值： 字串： " WinSysM"="C：\WINDOWS\IGM.exe"

　　3、使用IE浏览器打开网站“中国残疾人联合会”

　　http://www.cdpf.org.cn/

　　4、该木马可以盗取用户网络游戏传奇的账号与密码。

　　注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C：\Winnt\System32，windows95/98/me中默认的安装路径是C：\Windows\System，windowsXP中默认的安装路径是C：\Windows\System32.

　　%Temp% = C：\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量

　　%Windir%\ WINDODWS所在目录

　　%DriveLetter%\ 逻辑驱动器根目录

　　%ProgramFiles%\ 系统程序默认安装目录

　　%HomeDrive% = C：\ 当前启动的系统的所在分区

　　%Documents and Settings%\ 当前用户文档根目录

[1] [2] 下一页

<

　　代码分析：

　　1、复制原文件到系统目录%Windir%下，并重命名为IGM.exe：