Win32.PSWTroj.Lineage.z

tVersion\\ dir%\\ dir%\\

概述

病毒別名: 處理時間:2006-09-06 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為

:
該病毒為windows平台下專門針對天堂網路遊戲的特洛伊木馬,病毒運行後將自身偽裝成系統正常程式,利用注入技術監視天堂網路遊戲,並記錄遊戲的帳號、密碼、角色裝備等信息,同時病毒運行中會終止常見的反病毒軟體。
病毒主要通過網路欺騙、軟體捆綁,其它病毒攜帶等方式進行傳播。
1、病毒運行後將自身複製為偽系統正常檔案:
%Windir%\system32\explorer.exe
%Windir%\rundll32.exe
%Windir%\Internat.exe
2、釋放出以下主盜號程式:
%Windir%\system32\dab1.dll
%Windir%\system\micro.dll
3、病毒運行過程中生成以下臨時檔案:
c:\gameab1.txt
4、病毒修改以下註冊表項使病毒開機後自動運行:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon】
"Userinit" = "%Windir%\system32\userinit.exe,%Windir%\System32\explorer.exe"
如果是Win9x則病毒通過修改Win.ini檔案使病毒開機後自動運行
5、病毒運行過程中會實時監視並終止以下相關反病毒軟體進程:
RavMon.exe
EGhost.exe
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
6、病毒會關閉窗體類名為"RavMonClass"的程式。
7、病毒利用注入技術將病毒代碼注入每個進程中,然後通過判斷主程式名為"Lineage.exe"
的方法定位天堂遊戲,病毒還會通過查找窗體名為"Lineage Windows Client"的方式定位天堂遊戲。
8、用戶開啟天堂遊戲後,病毒在後台記錄用戶的遊戲帳號、密碼、角色裝備、裝備密碼等信息,成功
獲取用戶遊戲帳號密碼信息後傳送至以下地址:
http://www.cm***.net/use/mail.asp?tomail=wdo@www***.com&;mailbody=

相關詞條

相關搜尋

熱門詞條

聯絡我們