描述
Trojan/PSW.Passking.d
病毒類型:木馬
病毒大小:104600位元組左右或152800位元組左右
傳播方式:網路
危害等級:**
“盜號王”木馬病毒的最新變種Trojan/PSW.Passking.d和以前的變種一樣,該病毒運行後會試圖竊取用戶的中游帳號密碼、UC號碼、邊鋒賬號密碼等多種私密信息,通過電子郵件傳送給病毒作者。
具體技術特徵如下:
1. 病毒運行後,將在%SystemDir%目錄中創建一個隱含的DLL檔案,檔案名稱是隨機字母組合,檔案大小不定,約為152800位元組。
2. 通過修改下列註冊表項,使病毒DLL模組在系統啟動時即可被載入執行。
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks】
"" = maihook1005
【HKEY_CLASSES_ROOT\CLSID\】
"" = maihook1005
【HKEY_CLASSES_ROOT\CLSID\\InprocServer32】
"" = <%s>.dll
【HKEY_CLASSES_ROOT\CLSID\\ProgID】
"" = <%s>.shellexecutehook1005
【HKEY_CLASSES_ROOT\<%s>.ShellExecuteHook1005】
"" = maihook1005
【HKEY_CLASSES_ROOT\<%s>.ShellExecuteHook1005\Clsid】
"" =
其中<%s>是病毒DLL名稱,是隨機字元串
3. 病毒會將自身複製到用戶硬碟的隨機資料夾中。在複製時,病毒從當前用戶進程列表中選擇目標檔案名稱稱。每次複製的病毒程式大小不定,約為104600位元組。
4. 病毒試圖竊取用戶的中游帳號密碼、UC號碼、邊鋒賬號密碼等私密信息。通過自帶的SMTP引擎以電子郵件的方式傳送給病毒作者。
5. 檢測並自動結束若干國內著名防毒軟體和防火牆的進程。一旦發現防火牆警告對話框彈出,病毒還企圖自動對防火牆軟體進行操作,把自身加入到允許訪問網路的進程列表中。
