基本介紹
- 中文名:天堂殺手病毒
- 外文名:Trojan/PSW.Lineage.cq
- 病毒類型:木馬
- 病毒大小:39936位元組
- 傳播方式:網路
- 危害程度:★★
發現,特徵,
發現
2005年1月17日,江民反病毒中心截獲“天堂殺手”木馬的最新變種Trojan/PSW.Lineage.cq。
此變種主要通過病毒網站,利用IE瀏覽器的MHT漏洞和CODEBASE漏洞傳播。
特徵
病毒具體技術特徵如下:
1. 病毒運行後,將創建下列檔案:
%SystemDir%\user.txt, 帳號密碼記錄檔案
%WinDir%\svchost.exe, 39936位元組, 病毒自身
c:\program files\internet explorer\ie.txt, 9位元組, 病毒版本信息檔案
2. 在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KAVPersonal" = %WinDir%\svchost.exe
這樣,在Windows啟動時,病毒就可以自動執行。
3. 刪除%WinDir%\\Media資料夾中所有後綴為rmi,mid,wav的媒體檔案。造成Windows聲音方案失效。
4. 掛接Windows鉤子,監視用戶當前視窗,當視窗標題為“Lineage Windows Client”等字串時,記錄用戶的鍵盤輸入,定時通過SMTP引擎把竊取的信息通過電子郵件傳送給病毒作者。
5. 通過訪問病毒網站http://***ania.go.****.net/images/vs.txt,獲取病毒最新版本信息,如果發現更新版本,則自動下載病毒檔案,完成升級。
