天堂殺手病毒
病毒名稱:“天堂殺手”(Trojan/PSW.Lineage.cq)
病毒類型:木馬
病毒大小:39936位元組
傳播方式:網路
危害程度:★★
2005年1月17日,江民反病毒中心截獲“天堂殺手”木馬的最新變種Trojan/PSW.Lineage.cq。
此變種主要通過病毒網站,利用IE瀏覽器的MHT漏洞和CODEBASE漏洞傳播。
病毒會記錄用戶鍵盤輸入,盜取天堂遊戲的帳號密碼,通過其自帶的SMTP引擎把獲得的非法信息通過電子郵件傳送給病毒作者。同時,病毒還會自動升級,並會刪除用戶硬碟上的多種媒體檔案,造成數據破壞。
病毒具體技術特徵如下:
1.病毒運行後,將創建下列檔案:
%SystemDir%\user.txt, 帳號密碼記錄檔案
%WinDir%\svchost.exe, 39936位元組, 病毒自身
c:\program files\internet explorer\ie.txt, 9位元組, 病毒版本信息檔案
2. 在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KAVPersonal" = %WinDir%\svchost.exe
這樣,在Windows啟動時,病毒就可以自動執行。
3. 刪除%WinDir%\\Media資料夾中所有後綴為rmi,mid,wav的媒體檔案。造成Windows聲音方案失效。4. 掛接Windows鉤子,監視用戶當前視窗,當視窗標題為“Lineage Windows Client”等字串時,記錄用戶的鍵盤輸入,定時通過SMTP引擎把竊取的信息通過電子郵件傳送給病毒作者。