【病毒别名】:Trojan/PSW.Lineage.b.maker[KV]
【威胁级别】:★★
【中文名称】:天堂杀手
【病毒类型】:木马
【影响系统】:Win9x / WinNT
【病毒行为】:
这是一个天堂游戏盗号木马的生成器。它可以配置两个发信方式,一种是网页方式,一种是邮件方式。它号称能清除内存中的木马,其实病不能。它生成的木马会复制到C:Program Files目录,同时释放一个Dll文件并注入到系统的Explorer.exe进程中,以隐藏自身。它还关闭一些常见的反病毒软件,然后专门盗取天堂密码,发送到指定网页或者指定邮件地址。
1.生成的木马长度为221696字节。
2.生成的木马将自己复制为C:Program Files
undll32.exe,并且释放文件%System32%ct1dll.dll(195584字节),并将其注入到Explorer.exe进程,以隐藏自己的目的。
3.生成的木马将自己加载到注册表启动项目:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"loadMect1"="C:Program Files
undll32.exe"
它的配置信息存放在注册表中:
HKEY_LOCAL_MACHINESOFTWAREHacker软件
[HKEY_LOCAL_MACHINESOFTWAREHacker软件ct1 MM]
"Edithtml"="<配置的网页>"
"EditMxMail"="<配置的邮箱>"
4.生成的木马会关闭一些常见的病毒监控软件,如网镖,天网防火墙,密码防盗专家等,然后盗取天堂游戏的帐号和密码,发送到配置好的网页或者邮箱。