病毒名称(中文):
病毒别名:
Trojan-PSW.Win32.Gamania.a[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
51424
影响系统:
Win9xWinNT
病毒行为:
这是一个盗取天堂帐号信息的木马病毒。该病毒首先会尝试关闭一些常用病毒防火墙和一些反木马程序,如金山网镖、瑞星防火墙、天网防火墙、木马克星等。然后就挂钩系统的鼠标和键盘消息,截取用户的天堂游戏帐号信息,并将这些帐号信息发送到木马种植者预定的邮箱。
1.创建信号量tt1MMa防止多个实例同时运行。
2.WinNT下将自己复制为C:\ProgramFiles\explorer.exe,释放病毒文件%System%\htdll.dll(Win32.Troj.PSWLineage.be)。
Win9X下将自己复制为%System32%\INTERNAT.EXE和%SystemRoot%\RUNDLL32.EXE,释放病毒文件%System%\htdll.dll
(Win32.Troj.PSWLineage.be),并将自己注册位后台服务进程,从而在任务治理器中隐藏自己。
3.修改注册表。
在注册表中添加启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"sys_Runtt1"="C:\ProgramFiles\explorer.exe"
4.查找窗口名和窗口类为:
RavMon.exe
RavMonClass
天网防火墙个人版
Tapplication
天网防火墙企业版
TForm1
噬菌体
TfLockDownMain
ZoneAlarm
ZAFrameWnd
的窗口并关闭它们。
终止进程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
5.下载指定网络文件到本地计算机运行。
6.病毒将释放的文件htdll.dll注入到Explorer.exe进程中,然后就挂钩系统的鼠标和键盘消息,窃取用户天堂游戏密码,通过网页或者直接发送给木马种植者。
