三、典型Trojan-PSW木马分析

　　1.Trojan-PSW.Win32.Lmir.lq（传奇天使）

　　病毒标签：

　　病毒名称： Trojan-PSW.Win32.Lmir.lq

　　中文名称： 传奇天使

　　病毒类型： 木马

　　危害等级： 中

　　文件长度： 62,525 字节

　　感染系统： windows9x以上的所有版本

　　编写语言： Microsoft Visual C++

　　病毒描述：

　　传奇天使是专门盗取传奇账号的木马，感染后传奇天使后，该病毒会窃取传奇玩家的 区名称和ID名称，密码，及登陆服务器。感染该病毒后会在系统目录下生成病毒相关文件winker.exe或 winker.dll，搜索反病毒及安全软件的进程，找到后便将该进程中止，通过修改注册表，启动服务，并随系统同时启动。

　　行为分析：

　　1)修改注册表

　　HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

　　添加键值："默认"="%Windir%winker.exe"从而达到随系统启动的目的。

　　2)在系统目录下释放文件winker.exe或winker.dll。

　　3)关闭如下进程：天网防火墙个人版，金山网镖2003，瑞星杀毒软件。

　　4)修改注册表，调用kernerl32.dll的RegisterServiceProccess，从而注册为服务。

　　2.“网银大盗”

　　病毒名称：网银大盗Ⅱ

　　病毒类型：木马

　　病毒大小：16284字节

　　传播方式：网络

　　压缩方式：ASpack

　　该木马盗取几乎涵盖中国当时所有个人网上银行的帐号、密码、验证码等等，发送给病毒作者。此木马与4月份截获网银大盗有异曲同工之处，但涉及银行之多，范围之广是历来最大的，不但给染毒用户造成的损失更大、更直接，也给各网上银行造成更大的安全威胁和信任危机。