病毒名称:
Trojan.PSW.Pass1007.b
类别: 木马病毒
病毒资料:
破坏方法:
这是一个盗取用户各种信息的木马:“密码007”
该病毒行为如下:
1.释放一个动态连接库文件到系统目录下:
"C:\WINNT\System32\EHAE.dll"
2.修改注册表使该动态连接库文件能够自动加载到系统中,相关键值为:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\EXPlorer\ShellExecuteHooks {8BAA7594-70F6-4895-BA1C- 778C33327E83} = "Maihook1007"
HKCR\CLSID\{8BAA7594-70F6-4895-BA1C-778C33327E83}
HKCR\CLSID\{8BAA7594-70F6-4895-BA1C-778C33327E83}\(Default) = "Maihook1007"
HKCR\CLSID\{8BAA7594-70F6-4895-BA1C-778C33327E83}\InprocServer32 = 新建子键
HKCR\CLSID\{8BAA7594-70F6-4895-BA1C-778C33327E83}\InprocServer32
(Default) = "C:\WINNT\System32\EHAE.dll"
HKCR\CLSID\{8BAA7594-70F6-4895-BA1C-778C33327E83}\InprocServer32
"ThreadingModel" = "Apartment"
3.该病毒能够终止下列反病毒软件:
天网防火墙
金山毒霸
密码防盗专家
反黑王
杀毒王
瑞星杀毒
kingsoft antivirus mail monitor proxy
瑞星个人防火墙
瑞星个人防火墙2004
金山网镖
江民杀毒软件 kv2004:实时监视
江民杀毒软件 kv2004
江民杀毒软件:简洁操作台
江民黑客防火墙
等等
4.该病毒能够盗取大量的用户登陆信息并发送到指定邮箱
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-20