病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
50176
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗窃天堂游戏帐号和密码的病毒文件.
该病毒首先卸载大量安全软件,使用户机器处于无保护状态下.通过两种方式实现.第一种是修改注册表,自动卸载安全软件.第二种是查找安全软件窗口,然后强行关闭.病毒还试图把自身注册为系统服务,用户在任务治理器看不到任何异常,达到隐藏自身的目的.病毒还能通过安装消息钩子的方式窃取天堂游戏帐号和密码等信息.最后这些信息会被发送到病毒作者的邮箱.病毒还能自动从网站上下载病毒文件,并运行.会给用户信息的安全,带来较大危害.
1,释放文件到以下目录:
%windows%\rundll32.exe
%system%\rxdll.dll
%root%\ProgramFiles\rundll32.exe
%root%\ProgramFiles\internat.exe
2,增加注册表项:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
"rx"="C:\WINNT\rundll32.exe"
3,关闭下列进程:
PasswordGuard.exe
RavMon.exe
RavMonClass
天网防火墙个人版
天网防火墙企业版
噬菌体
ZoneAlarm
ZAFrameWnd
EGHOST.EXE
MAILMON.EXE
IPARMOR.EXE
等等
4,修改下列注册表项,卸载安全软件:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\密码防盗专家综合版
5,试图把自身注册为系统服务,达到隐藏自身的目的
6,病毒还能通过安装消息钩子的方式窃取天堂游戏帐号和密码等信息.最后这些信息会被发送到病毒作者的邮箱.
