Trojan/PSW.Lineage.cq“天堂殺手”變種cq是主要通過病毒網站,利用IE瀏覽器的MHT漏洞和CODEBASE漏洞傳播的木馬程式。
基本介紹
- 外文名:Trojan/PSW.Lineage.cq
- 危害等級::★★
- 病毒類型::木馬
- 病毒長度::39936位元組
簡介,原理,
簡介
中 文 名:“天堂殺手”變種cq
原理
該木馬會記錄用戶鍵擊,盜取“天堂”(網路遊戲)的帳號密碼,並通過其自帶的SMTP引擎把獲得的信息通過電子郵件傳送給病毒作者。另外,該病毒還會自動升級,並會刪除用戶硬碟上的多種媒體檔案,造成數據破壞。病毒運行後,在系統目錄及Windows目錄下創建檔案user.txt、svchost.exe及ie.txt,用以記錄所盜取的帳號密碼、病毒版本等信息。修改註冊表,以實現病毒程式的開機自啟。刪除Windows目錄下的Media資料夾中所有後綴為rmi,mid,wav的媒體檔案。造成Windows聲音方案失效。掛接Windows鉤子,監視用戶當前視窗,當視窗標題為“Lineage Windows Client”等字串時,記錄用戶的鍵盤輸入,定時通過SMTP引擎把竊取的信息通過電子郵件傳送給病毒作者。訪問病毒網站http://***ania.go.****.net/images/vs.txt,獲取病毒最新版本信息,如果發現更新版本,則自動下載病毒檔案,完成升級。
Trojan/StartPage.PagaSearch“初始頁”變種是主要通過病毒網站,利用IE瀏覽器的MHT漏洞和CODEBASE漏洞傳播的木馬程式。該病毒通過編寫IE外掛程式及explorershell擴展,修改IE及Explorer.exe程式的默認行為,在IE主視窗中添加Iframe子窗體等。當用戶打開IE主程式或通過Explorer.exe對系統設定進行修改時,會自動連線帶毒站點並提交收集到的用戶系統信息。病毒運行後,在Windows目錄下創建大量目錄和檔案,用於存放病毒本身、病毒啟動信息等內容,修改註冊表及system.ini檔案,以實現病毒程式的開機自啟,並達到修改IE默認首頁、在IE主視窗中添加Iframe子窗體等目的。當用戶通過Explorer.exe對系統設定進行修改時,會自動連線黑客指定站點並提交所盜取的用戶系統信息。病毒還會枚舉所有視窗,當發現視窗標題為“Thankyouforchoosingtobeonourwebsite”時,將該視窗置頂顯示。
