传奇盗号木马9900

“传奇盗号木马9900”（Win32.Troj.LmirT.by.9900） 威胁级别：★★

病毒进入用户的电脑系统后，在系统盘%WINDOWS%目录下释放出病毒文件192896M.exe和192896MM.DLL，并修改系统注册表，把自己设置为随系统启动而自动运行。

当病毒运行起来，会迅速查找毒霸、卡巴斯基、瑞星、360安全卫士等安全软件的进程，发现后将它们强行中止。然后在后台连接http://www.f**3.com:7*7/这个地址，下载一个名为MyUnBoundMB.uib的文件。这个动作对病毒的作案比较重要，因为该文件可帮助病毒绕开游戏密保的保护。

随后，病毒将之前生成的192896MM.DLL注入到系统桌面进程explorer.exe中，查找网络游戏《传奇》的进程。如果找到，就注入其中，通过读取游戏内存的方法获得帐号密码，并通过网络发送到木马种植者指定的地址，使用户遭受虚拟财产的损失。