Win32.Troj.mir2WLHA

病毒别名：

处理时间：

威胁级别：★

中文名称：蔚蓝海岸传奇2木马

病毒类型：木马

影响系统：win9X/WinNT/Win2000/WinXP/Win2003

病毒行为:

传奇木马类

编写工具:Borland Delphi 6.0 - 7.0

传染条件:

发作条件:用户使用传奇客户端，进行游戏

系统修改:

A、将自身复制到系统安装目录下：

%SystemRoot%win9x.exe

B、在注册表主键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下键值：

"win9x.exe" = "win9x.exe"

发作现象:

A、当感染机器打开传奇2后，该木马会记录用户的帐号、密码、分区，并记录账号内人物的相关信息。

B、木马将这些信息发送到http://www.sea99.com/mir1/login.asp脚本文件中。可能木马的开发者会对此信息进行保存。

C、asp脚本，再将此信息转发给，木马的使用者指定的信箱。信件的格式如下

新疆电信(57区)【385,310:2】长河(新疆)

账号:XXXXXXX

密码:XXXX

分区:XX区

服务器:XXX

第一人物名称:XXX

第一人物职业:XXX

第一人物等级:XX级

第二人物名称:XXXX

第二人物职业:XXX

第二人物等级:XX级

随身装备:XXX/XX/XXX

特别说明:

此木马不光使用者可以得到感染机器的传奇信息，木马的开发者也同时会得知，不排除开发者会对有极品装备帐号进行特殊的处理