病毒别名：处理时间：2006-09-06威胁级别：★★
中文名称：传奇木马变种ci病毒类型：木马影响系统：win9x/me,win2000/nt,winxp,win2003
病毒行为:
该病毒为windows平台下的专门针对于传奇网络游戏的盗号型木马，病毒运行后复制自身成伪系统正常文件,
然后利用钩子技术将病毒代码注入每一个进程中，发现传奇网络游戏时，病毒利用键盘钩子和鼠标钩子记录
用户帐号、密码、角色装备信息，然后将信息发送给病毒作者。同时该病毒运行过程中尝试通过网络下载并
运行其它病毒。病毒运行过程中实时监视并关闭相关反病毒软件。
病毒主要通过网络欺骗和捆绑软件方式进行传播。

1、病毒运行后将自身复制为以下伪系统正常文件:
%windir%\_svchost_.exe

2、释放出主盗号程序:
%windir%\_msvc_.dll

3、添加如下注册表项使病毒开机后自动运行:
[hkey_local_machine\software\microsoft\windowsnt\currentversion\winlogon]
"shell"="explorer.exe%windir%\_svchost_.exe"
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"_system_run"="%windir%\_svchost_.exe"

4、在win9x系统下病毒通过修改"win.ini"文件的以下项目使病毒开机后自动运行:
[windows]
run=%windir%\_svchost_.exe

5、病毒运行过程中会删除以下注册表项:
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"sys_runt1"=value
"sys_runtt1"=value

6、枚举系统中的进程列表，并终止以下相关反病毒软件的进程:
kvp.kxp
kvmonxp.kxp
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe

7、病毒查找到包含以下窗体名/类名的程序时，终止窗体对应的程序进程:
ravmonclass
天网防火墙个人版
天网防火墙企业版
噬菌体
tflockdownmain
zonealarm
zaframewnd

8、在win9x系统下病毒会尝试调用"registerserviceprocess"api进行进程隐藏，使用户不易发觉。

9、病毒运行过程中创建一个名为"m1class"的互斥对象进行检查病毒是否已经运行。

10、网络状态可用时，病毒尝试连接以下地址下载其它病毒:
http://www.a**.com/hehe/123.exe
http://www.ly****.com/www/1.exe
11、主盗号dll运行后将病毒代码注入每个进程中，并通过键盘、鼠标钩子技术记录用户游戏帐号密码信息，然后将信息发送给病毒作者。