病毒名称(中文):
天堂杀手
病毒别名:
Trojan/PSW.Lineage.b.maker[KV]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
761856
影响系统:
Win9xWinNT
病毒行为:
这是一个天堂游戏盗号木马的生成器。它可以配置两个发信方式,一种是网页方式,一种是邮件方式。它号称能清除内存中的木马,其实病不能。它生成的木马会复制到C:\ProgramFiles\目录,同时释放一个Dll文件并注入到系统的Explorer.exe进程中,以隐藏自身。它还关闭一些常见的反病毒软件,然后专门盗取天堂密码,发送到指定网页或者指定邮件地址。
1.生成的木马长度为221696字节。
2.生成的木马将自己复制为C:\ProgramFiles\rundll32.exe,并且释放文件%System32%\ct1dll.dll(195584字节),并将其注入到Explorer.exe进程,以隐藏自己的目的。
3.生成的木马将自己加载到注册表启动项目:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"loadMect1"="C:\ProgramFiles\rundll32.exe"
它的配置信息存放在注册表中:
HKEY_LOCAL_MACHINE\SOFTWARE\Hacker软件
[HKEY_LOCAL_MACHINE\SOFTWARE\Hacker软件\ct1MM]
"Edithtml"="<配置的网页>"
"EditMxMail"="<配置的邮箱>"
4.生成的木马会关闭一些常见的病毒监控软件,如网镖,天网防火墙,密码防盗专家等,然后盗取天堂游戏的帐号和密码,发送到配置好的网页或者邮箱。