Win32.PSWTroj.Lineage.za

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

124928

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为windows平台下专门针对天堂网络游戏的特洛伊木马,病毒运行后将自身伪装成系统正常程序,利用注入技术监视天堂网络游戏,并记录游戏的帐号、密码、角色装备等信息,同时病毒运行中会终止常见的反病毒软件。

病毒主要通过网络欺骗、软件捆绑,其它病毒携带等方式进行传播。

1、病毒运行后将自身复制为伪系统正常文件:

%Windir%\system32\explorer.exe

%Windir%\rundll32.exe

%Windir%\Internat.exe

2、释放出以下主盗号程序:

%Windir%\system32\dab1.dll

%Windir%\system\micro.dll

3、病毒运行过程中生成以下临时文件:

c:\gameab1.txt

4、病毒修改以下注册表项使病毒开机后自动运行:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]

"Userinit"="%Windir%\system32\userinit.exe,%Windir%\System32\explorer.exe"

假如是Win9x则病毒通过修改Win.ini文件使病毒开机后自动运行

5、病毒运行过程中会实时监视并终止以下相关反病毒软件进程:

RavMon.exe

EGhost.exe

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

6、病毒会关闭窗体类名为"RavMonClass"的程序。

7、病毒利用注入技术将病毒代码注入每个进程中,然后通过判定主程序名为"Lineage.exe"

的方法定位天堂游戏,病毒还会通过查找窗体名为"LineageWindowsClient"的方式定位天堂游戏。

8、用户开启天堂游戏后,病毒在后台记录用户的游戏帐号、密码、角色装备、装备密码等信息,成功

获取用户游戏帐号密码信息后发送至以下地址:

http://www.cm***.net/use/mail.asp?tomail=wdo@www***.com&mailbody=

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航